亚洲在线久爱草,狠狠天天香蕉网,天天搞日日干久草,伊人亚洲日本欧美

為了賬號安全,請及時綁定郵箱和手機立即綁定
已解決430363個問題,去搜搜看,總會有你想問的

前端同學對于token安全的一些疑問?

前端同學對于token安全的一些疑問?

翻過高山走不出你 2018-07-16 14:06:44
前端在用戶登錄后獲得后端傳來的token儲存在本地(localStrong、cookie或者內存中)假設A獲得B的token,那調取接口時A帶上B的token不就可以冒充B了,是這樣嗎?
查看完整描述

2 回答

?
幕布斯6054654

TA貢獻1876條經驗 獲得超7個贊

僅以單頁應用為例:
先使用用戶名、密碼、驗證碼等進入授權URL獲取token,獲取到token之后跟后臺建立連接繼而可以獲取數據

  1. 一般來說此token是不會往cookie以及localStorage等地方存儲的,僅僅放在全局變量中,這時候你換賬號登錄就沒辦法獲取到了,僅僅限于當前頁面且在不刷新的情況下使用;

  2. 如果將token存儲在可見區域如localStorage,那么是以什么目的呢?記住用戶名與密碼這種? A登錄的時候后臺僅僅驗證token的話,那確實是可以登錄的,網站對安全性沒有要求其實無所謂。如果網站要求高,你的token就不能存儲成明文了,需要手動加密解密


查看完整回答
反對 回復 2018-07-20
?
夢里花落0921

TA貢獻1772條經驗 獲得超6個贊

是這樣啊,拿到了token確實可以請求啊。但是一般都有時效性,一定時間內能用;還有有些公司人家會驗證是否常用IP請求啊 這些來達到驗證的目的;就假設我給你token了,但是token里面我有IP加密的,你換個地方去登錄就登不了啊

查看完整回答
反對 回復 2018-07-20
  • 2 回答
  • 0 關注
  • 3077 瀏覽

添加回答

舉報

0/150
提交
取消
微信客服

購課補貼
聯系客服咨詢優惠詳情

 幫助反饋 APP下載

慕課網APP
您的移動學習伙伴

 公眾號

掃描二維碼
關注慕課網微信公眾號