猿问

关于jwt生成的token和session的安全性问题

现在我所做的项目是前后端分离的,主要是api接口的开发,登陆逻辑是这样的,
首先用户使用账号密码登陆,如果正确的话会自动生成一个token,并将token存放在redis中,同时将token返回给前端,之后前端每次调用api接口的时候都会在http的head中增加一个"X-TOKEN"的头,里面存放的就是token值,之后就会将该token和redis中的比较,看是否能成功。
问题在于,如果有人拦截获取了这个token值,比如说用户连接了他家的wifi,然后设计一个ajax按照那个逻辑存放token值然后访问api接口,不就可以直接获取数据了吗,这样做的安全性在哪???

慕姐4208626
浏览 1830回答 2
2回答

宝慕林4294392

token不是为了解决安全问题的 token不是为了解决安全问题的 token不是为了解决安全问题的

慕哥6287543

你用session也一样可以用相同的方法攻击要解决这个问题得靠https
随时随地看视频慕课网APP
我要回答