Vulnerabilidades al usar una autenticación basada en token como esta

2

Estoy desarrollando una API REST de back-end para una de mis aplicaciones móviles. Estoy buscando crear un sistema de autenticación basado en token que permita un inicio de sesión persistente y me pregunto si hay fallas de seguridad que puedan resultar de ello.

Aquí está un resumen de mi plan:

: el usuario autentica sus credenciales en el servidor (Nota: todas las contraseñas se guardarán en una tabla de usuarios hipotéticos y se incluirán en hasted + salted)

-Asumiendo que las credenciales son correctas y verificadas, el servidor genera un token de autenticación que se crea al concatenar el nombre de usuario, una marca de tiempo y una cadena de texto aleatoria. La concatenación será hash (el hash será el token)

: este hash se almacena en la base de datos y se transmite nuevamente al cliente (mediante SSL), que se almacenará y enviará en los encabezados junto con el nombre de usuario para cada solicitud que el cliente realice.

: el servidor verifica el token y el nombre de usuario para que coincidan con los de la base de datos.

-Nota: Cada vez que se realice un nuevo inicio de sesión exitoso, se generará un nuevo token y luego se reemplazará en la base de datos, lo que evitará que múltiples dispositivos se registren en la cuenta a la vez.

Suponiendo que todas las consultas de base de datos están parametrizadas, ¿qué otros tipos de vulnerabilidades hipotéticas podrían surgir al usar un sistema como este?

    
pregunta user3488161 05.05.2016 - 19:00
fuente

0 respuestas

Lea otras preguntas en las etiquetas