首頁(yè) 猿問(wèn) 前端同學(xué)對(duì)于token安全的一些疑問(wèn)

前端同學(xué)對(duì)于token安全的一些疑問(wèn)

12345678_0001 2018-07-22 08:25:06

前端在用戶(hù)登錄后獲得后端傳來(lái)的token儲(chǔ)存在本地（localStrong、cookie或者內(nèi)存中）假設(shè)A獲得B的token，那調(diào)取接口時(shí)A帶上B的token不就可以冒充B了，是這樣嗎？

查看完整描述

2 回答

慕容森

TA貢獻(xiàn)1853條經(jīng)驗(yàn) 獲得超18個(gè)贊

對(duì)于服務(wù)端來(lái)說(shuō)token只是一個(gè)代號(hào)而已，一般來(lái)說(shuō)后端會(huì)有鑒權(quán)的，也就是會(huì)對(duì)每一個(gè)接口數(shù)據(jù)進(jìn)行一些校驗(yàn)。

反對(duì) 回復(fù) 2018-07-23

函數(shù)式編程

TA貢獻(xiàn)1807條經(jīng)驗(yàn) 獲得超9個(gè)贊

僅以單頁(yè)應(yīng)用為例:
先使用用戶(hù)名、密碼、驗(yàn)證碼等進(jìn)入授權(quán)URL獲取token,獲取到token之后跟后臺(tái)建立連接繼而可以獲取數(shù)據(jù)

一般來(lái)說(shuō)此token是不會(huì)往cookie以及l(fā)ocalStorage等地方存儲(chǔ)的，僅僅放在全局變量中，這時(shí)候你換賬號(hào)登錄就沒(méi)辦法獲取到了，僅僅限于當(dāng)前頁(yè)面且在不刷新的情況下使用；
如果將token存儲(chǔ)在可見(jiàn)區(qū)域如localStorage，那么是以什么目的呢？記住用戶(hù)名與密碼這種？ A登錄的時(shí)候后臺(tái)僅僅驗(yàn)證token的話，那確實(shí)是可以登錄的，網(wǎng)站對(duì)安全性沒(méi)有要求其實(shí)無(wú)所謂。如果網(wǎng)站要求高，你的token就不能存儲(chǔ)成明文了，需要手動(dòng)加密解密

反對(duì) 回復(fù) 2018-07-23