How can I secure access token ? I can take token value and cookie identity from browser which signed and have valid token, to another brwoser and access authority actions?
How can I secure access token ? I can take token value and cookie identity from browser which signed and have valid token, to another brwoser and access authority actions?
Если это то, как реализуется безопасность. Тогда да, именно так это будет работать, если вы сможете заставить свои файлы cookie работать в других браузерах, или ваши пользователи могут реплицировать данные, хранящиеся в файлах cookie, тогда они смогут получить доступ к своим сеансам из любого места.
Вместо этого лучше всего хранить только маркер доступа в файле cookie (а не идентификатор пользователя), а затем периодически обновлять файл cookie. Даже попробуйте встроить некоторую информацию о пользовательском агенте, системе и других вещах, чтобы вы могли предотвратить подделку файла cookie и его повторное использование.
Прочтите их для получения немного дополнительной информации об этом,
безопасность - как я могу предотвратить захват сеанса, просто скопировав файл cookie с компьютера на другой? - переполнение стека[^]
Как реализуются файлы cookie и сеансы для предотвращения повторного использования в других местах - Information Security Stack Exchange[^]
Безопасность-это огромная тема сама по себе.