Propósito para "Token de uso único"

Navega tus respuestas
4

Conecto un Salesforce ORG con un vendedor de terceros a través de una API personalizada (básicamente, la escribieron solo para nosotros). La API requiere que recupere un "token" que pasa a otras llamadas a través de la Autorización BÁSICA.

Estaba almacenando este token en la memoria caché, pero en la segunda vez intenté usarlo. Como resultado, este token solo puede pasar a una llamada a la API UNA VEZ . La próxima llamada a la API necesita recuperar su propio token. Básicamente, esto resulta en dos llamadas a la API para cada operación de la API. Salesforce limita el número de llamadas que puede hacer por contexto de ejecución, por lo que realmente no es lo ideal.

¿Me pregunto si hay alguna razón lógica para hacerlo de esta manera? ¿No sería simple (o no seguro) usar la Autorización BÁSICA en cada operación?

    
pregunta NSjonas 14.05.2015 - 19:17
fuente

1 respuesta

2

En general, los tokens de uso único se utilizan para mitigar los ataques de repetición y para hacer que sea más difícil robar información de autenticación. Tienen otros usos en el diseño de protocolos para sistemas multi-tentant y multi-usuario. Voy a asumir que no se aplican porque dijiste que esta era una API personalizada creada solo para ti.

Si está llamando a la API a través de la web usando SSL / TLS, entonces TLS / SSL ya proporciona mitigación contra la reproducción. También proporciona cifrado para ayudar a mitigar el robo de su información de autenticación. Yo diría que han sobre-diseñado la seguridad en la API. Sin embargo, la seguridad real tiene que ver con las capas y agregar otra capa la hace más segura. Cuánto más seguro contra el costo de la segunda convocatoria es discutible. Puede sugerir que le emitan un token de tiempo limitado frente a un token de una sola vez.

Dicho esto, no hay límite para la cantidad de llamadas de Apex de Salesforce. Solo hay un límite para el número de llamadas por transacción. Consulte aquí y here

    
respondido por el kheld 14.05.2015 - 21:04
fuente

Lea otras preguntas en las etiquetas

Conexión entre “Ingeniería de requisitos de seguridad”, “Análisis de riesgos” y “Modelado de amenazas” ¿Es posible que haya malware en la BIOS o en el hardware?