首頁猿問前端同學(xué)對于token安全的一些疑問？

前端同學(xué)對于token安全的一些疑問？

翻過高山走不出你 2018-07-16 14:06:44

前端在用戶登錄后獲得后端傳來的token儲(chǔ)存在本地（localStrong、cookie或者內(nèi)存中）假設(shè)A獲得B的token，那調(diào)取接口時(shí)A帶上B的token不就可以冒充B了，是這樣嗎？

查看完整描述

2 回答

幕布斯6054654

TA貢獻(xiàn)1876條經(jīng)驗(yàn) 獲得超7個(gè)贊

僅以單頁應(yīng)用為例:
先使用用戶名、密碼、驗(yàn)證碼等進(jìn)入授權(quán)URL獲取token,獲取到token之后跟后臺(tái)建立連接繼而可以獲取數(shù)據(jù)

一般來說此token是不會(huì)往cookie以及l(fā)ocalStorage等地方存儲(chǔ)的，僅僅放在全局變量中，這時(shí)候你換賬號登錄就沒辦法獲取到了，僅僅限于當(dāng)前頁面且在不刷新的情況下使用；
如果將token存儲(chǔ)在可見區(qū)域如localStorage，那么是以什么目的呢？記住用戶名與密碼這種？ A登錄的時(shí)候后臺(tái)僅僅驗(yàn)證token的話，那確實(shí)是可以登錄的，網(wǎng)站對安全性沒有要求其實(shí)無所謂。如果網(wǎng)站要求高，你的token就不能存儲(chǔ)成明文了，需要手動(dòng)加密解密

反對回復(fù) 2018-07-20

夢里花落0921

TA貢獻(xiàn)1772條經(jīng)驗(yàn) 獲得超6個(gè)贊

是這樣啊，拿到了token確實(shí)可以請求啊。但是一般都有時(shí)效性，一定時(shí)間內(nèi)能用；還有有些公司人家會(huì)驗(yàn)證是否常用IP請求啊這些來達(dá)到驗(yàn)證的目的；就假設(shè)我給你token了，但是token里面我有IP加密的，你換個(gè)地方去登錄就登不了啊

反對回復(fù) 2018-07-20