AuthKeys und API Tokens anzeigen und Möglichkeit, diese als ungültig zu markieren
Beschreibung
Möglichkeit, in den Homeworker Einstellungen alle AuthKeys und API Tokens anzuzeigen, und diese als ungültig zu markieren. Anstatt den Tatsächlichen Key oder Token anzuzeigen, könnten auch z. B. User Agent, die IP Adresse und der Zeitpunkt des letzten Zugriffs angezeigt werden.
Notwendigkeit
Dies ermöglicht es Nutzern, zu kontrollieren, auf welchen Geräten sie angemeldet sind und würde somit die Sicherheit erhöhen.
Zudem ist es aktuell möglich, denselben AuthKey auf mehreren Geräten zu verwenden, sodass mögliche Angreifer sehr einfach diesen aus dem Cookie auslesen und auf anderen Geräten verwenden können.
Außerdem ist es meines Wissens nach nur möglich, einen AuthKey als ungültig zu markieren, indem man sich auf einem Gerät, das diesen AuthKey zur Authentifizierung verwendet, abmeldet. Dies ist jedoch nur möglich, wenn der AuthKey bekannt ist. Sobald die Cookies auf einem Gerät gelöscht werden, ist es also oft nicht mehr möglich, den AuthKey als ungültig zu markieren.
Ähnliches gilt für API Tokens und Refresh Tokens.
Umsetzung
ähnlich wie z. B. bei Nextcloud
Mindestanforderungen
- Anzeige der AuthKeys und API Tokens und/oder Möglichkeit, diese als ungültig zu markieren.
- Button, um alle AuthKeys, API Tokens und Refresh Tokens als ungültig zu markieren.
Labels: