猿问

前端同学对于token安全的一些疑问

前端在用户登录后获得后端传来的token储存在本地(localStrong、cookie或者内存中)
假设A获得B的token,那调取接口时A带上B的token不就可以冒充B了,是这样吗?

12345678_0001
浏览 652回答 2
2回答

慕容森

对于服务端来说token只是一个代号而已,一般来说后端会有鉴权的,也就是会对每一个接口数据进行一些校验。
0

函数式编程

仅以单页应用为例:先使用用户名、密码、验证码等进入授权URL获取token,获取到token之后跟后台建立连接继而可以获取数据一般来说此token是不会往cookie以及localStorage等地方存储的,仅仅放在全局变量中,这时候你换账号登录就没办法获取到了,仅仅限于当前页面且在不刷新的情况下使用;如果将token存储在可见区域如localStorage,那么是以什么目的呢?记住用户名与密码这种? A登录的时候后台仅仅验证token的话,那确实是可以登录的,网站对安全性没有要求其实无所谓。如果网站要求高,你的token就不能存储成明文了,需要手动加密解密
0
随时随地看视频慕课网APP
我要回答