鍍金池/ 問答/Java  PHP  HTML/ 關(guān)于token的幾個(gè)問題?

關(guān)于token的幾個(gè)問題?

所謂token,大概就是登陸驗(yàn)證成功后,服務(wù)器根據(jù)算法生成一個(gè)唯一串返回給前端。前端拿著這個(gè)串作為一個(gè)憑證去獲取數(shù)據(jù),那么問題來了:

  1. 如何中途截獲到這個(gè)token,是不是一樣可以成功獲得數(shù)據(jù);
  2. 服務(wù)器怎么去驗(yàn)證這個(gè)串的正誤;
  3. 這種認(rèn)證機(jī)制到底安全在哪里;
回答
編輯回答
悶油瓶
  1. token主要解決csrf問題。token一般為非對稱加密。如果一次登錄中token是不變的,當(dāng)截獲到token就一定是存在安全問題的
  2. token作用(主要)不是解決安全性,數(shù)據(jù)安全性解決方案一般用sign
2017年5月29日 12:57
編輯回答
檸檬藍(lán)

token不來就不是解決安全問題的,問的我想打人了

2018年2月1日 13:10
編輯回答
情皺

token主要是用來應(yīng)對CSRF的

解決安全問題:
https, 雙因素認(rèn)證 等等

2018年2月16日 11:42
編輯回答
墨染殤

token是經(jīng)過AES加密過的,如果可以正確解密出來,里頭是放了用戶數(shù)據(jù)的

2018年4月21日 18:29
編輯回答
爛人

回答:第一點(diǎn),如果能夠成功截獲的話,又在token失效期內(nèi),是可以成功獲取到數(shù)據(jù)的。

 第二點(diǎn),這個(gè)token是通過加密算法生成的,有一套對應(yīng)的規(guī)則。
 第三點(diǎn),因?yàn)檫@個(gè)token都是驗(yàn)證登錄成功后,后臺(tái)通過加密即時(shí)生成且唯一的,并在一定的時(shí)間后失效。
2017年8月6日 16:08
編輯回答
生性

如果擔(dān)心token被抓包,可以考慮用https協(xié)議

2018年9月3日 06:42
編輯回答
別瞎鬧

我覺得你可以找找json web token 這方面的資料看看

2018年7月21日 10:19
編輯回答
敢試

至少token不是連續(xù)的,我不能從1往后試

舉個(gè)例子,比如查看某人的訂單是這樣的/order/${uid}(雖然沒人這么傻但是不要在乎這些細(xì)節(jié))

我找到規(guī)律之后只要把uid改一改就可以隨意查看其他人的訂單信息了,這樣不安全,但如果uid并不是連續(xù)的數(shù)字,而是一個(gè)md5加密的32位字符,這個(gè)路子就行不通了

2017年11月21日 21:06