亚洲在线久爱草,狠狠天天香蕉网,天天搞日日干久草,伊人亚洲日本欧美

為了賬號安全,請及時綁定郵箱和手機立即綁定
已解決430363個問題,去搜搜看,總會有你想問的

前端同學對于token安全的一些疑問

前端同學對于token安全的一些疑問

12345678_0001 2018-07-22 08:25:06
前端在用戶登錄后獲得后端傳來的token儲存在本地(localStrong、cookie或者內存中)假設A獲得B的token,那調取接口時A帶上B的token不就可以冒充B了,是這樣嗎?
查看完整描述

2 回答

?
慕容森

TA貢獻1853條經驗 獲得超18個贊

對于服務端來說token只是一個代號而已,一般來說后端會有鑒權的,也就是會對每一個接口數據進行一些校驗。

查看完整回答
反對 回復 2018-07-23
?
函數式編程

TA貢獻1807條經驗 獲得超9個贊

僅以單頁應用為例:
先使用用戶名、密碼、驗證碼等進入授權URL獲取token,獲取到token之后跟后臺建立連接繼而可以獲取數據

  1. 一般來說此token是不會往cookie以及localStorage等地方存儲的,僅僅放在全局變量中,這時候你換賬號登錄就沒辦法獲取到了,僅僅限于當前頁面且在不刷新的情況下使用;

  2. 如果將token存儲在可見區域如localStorage,那么是以什么目的呢?記住用戶名與密碼這種? A登錄的時候后臺僅僅驗證token的話,那確實是可以登錄的,網站對安全性沒有要求其實無所謂。如果網站要求高,你的token就不能存儲成明文了,需要手動加密解密


查看完整回答
反對 回復 2018-07-23
  • 2 回答
  • 0 關注
  • 625 瀏覽

添加回答

舉報

0/150
提交
取消
微信客服

購課補貼
聯系客服咨詢優惠詳情

 幫助反饋 APP下載

慕課網APP
您的移動學習伙伴

 公眾號

掃描二維碼
關注慕課網微信公眾號