10回答

紫衣仙女

回答：第一点，如果能够成功截获的话，又在token失效期内，是可以成功获取到数据的。 第二点，这个token是通过加密算法生成的，有一套对应的规则。 第三点，因为这个token都是验证登录成功后，后台通过加密即时生成且唯一的，并在一定的时间后失效。

0 0

0

慕田峪7331174

token主要解决csrf问题。token一般为非对称加密。如果一次登录中token是不变的，当截获到token就一定是存在安全问题的token作用(主要)不是解决安全性，数据安全性解决方案一般用sign

0 0

0

江户川乱折腾

我觉得你可以找找json web token 这方面的资料看看

0 0

0

烙印99

至少token不是连续的，我不能从1往后试举个例子，比如查看某人的订单是这样的/order/${uid}（虽然没人这么傻但是不要在乎这些细节）我找到规律之后只要把uid改一改就可以随意查看其他人的订单信息了，这样不安全，但如果uid并不是连续的数字，而是一个md5加密的32位字符，这个路子就行不通了

0 0

0

素胚勾勒不出你

token是经过AES加密过的，如果可以正确解密出来，里头是放了用户数据的

0 0

0

精慕HU

token不来就不是解决安全问题的，问的我想打人了

0 0

0

阿波罗的战车

token主要是用来应对CSRF的解决安全问题:https, 双因素认证 等等

0 0

0

喵喵时光机

1、使用https token无法在mimt中截取，除非网站已经被xss注入，当然可以用cookie only来防止js读取。2、token分为很多种jwt token通过hash加密，服务器取到后第一层进行hash监测，再与数据库比对(可以省略)。3、没有绝对的安全，只有相对安全。

0 0

0