В системе управления авторизацией и аутентификацией RooX UIDM появилась защита от перехвата токенов доступа. Она позволит бизнесу усилить защиту приложений от несанкционированных действий.
Токен доступа — это специально генерируемый код, который используется для аутентификации и авторизации пользователя или приложения. Такой токен формируется в момент успешной аутентификации и используется для проверки подлинности пользователя каждый раз, когда тот совершает действие, например, просматривает баланс счета, данные профиля, переводит деньги, совершает покупку и т.д. Он позволяет избежать повторного ввода учетных данных при каждом таком действии пользователя.
Однако токен может быть перехвачен злоумышленниками из-за недостаточной защиты данных или ошибки в коде, что даст возможность совершать несанкционированные действия от лица пользователя. Поэтому важно регулярно обновлять токены и внедрять дополнительные меры безопасности.
Новая функция в RooX UIDM является одной из таких мер безопасности. Она проверяет, исходит ли запрос на действие с того же устройства, на котором был выдан токен доступа.
Функция работает на основе асимметричной криптографии. Сначала на устройстве, с которого пользователь входит в приложение, генерируется пара криптографических ключей: закрытый и открытый. В момент аутентификации выданный токен связывается с ключом. Далее при каждом запросе на действие на сервер передается не только токен доступа, но и дополнительная информация о действии, подписанная закрытым ключом. Сервер, получивший запрос, использует открытый ключ клиента для проверки подписи. Если подпись подтверждается, сервер может быть уверен, что запрос исходит от того же устройства.
Использование асимметричной криптографии позволяет надежно связывать запросы с конкретным устройством. Теперь, даже украв токен, злоумышленники не смогут выполнить никаких действий от имени человека.
Механизмы подобных проверок постепенно становятся базовым требованием информационной безопасности при операциях с персональными данными. Эту тенденцию подтверждают крупнейшие технологические компании мира. Так, недавно Google встроил в браузер Google Chrome похожий инструмент. Мы следим за развитием рынка и дополняем RooX UIDM актуальными и востребованными функциями.
Константин Корсаков
Главный архитектор RooX
Подробнее о системе аутентификации и авторизации RooX UIDM