Das Problem ist das Token. Bei jedem Request muß am Server nachgeschaut werden, ob das Token (was der Request mitsendet) erzeugt wurde, wann das Token erzeugt wurde und an welchen Benutzer es vergeben wurde. Dabei darf das Token nur einmal registriert sein.

Egal über welchen Zeitraum: Ein Token muß atomar sein, es darf nicht vorkommen daß ein Token der zufällig erzeugt wurde mehreren Benutzern zugewiesen wird.

Bis dahin ist das vielleicht noch machbar. Aber stellen wir uns mal vor, Benutzer Alfred hat einen Token bekommen und darf Geld überweisen. Zufällig kommt in anderer Benutzer mit demselben Token und darf damit natürlich all das machen was Alfred gerade macht. Denn serverseitig wird ja nur das Token geprüft und davon ausgegangen daß der Benutzer der es bekommen hat Alfred ist.

Ziemlich fatal.
Last edited: 2024-05-15 08:45:03 +0200 (CEST)