前端在用户登录后获得后端传来的token储存在本地(localStrong、cookie或者内存中)假设A获得B的token,那调取接口时A带上B的token不就可以冒充B了,是这样吗?
2 回答
幕布斯6054654
TA贡献1876条经验 获得超7个赞
仅以单页应用为例:
先使用用户名、密码、验证码等进入授权URL获取token,获取到token之后跟后台建立连接继而可以获取数据
一般来说此token是不会往cookie以及localStorage等地方存储的,仅仅放在全局变量中,这时候你换账号登录就没办法获取到了,仅仅限于当前页面且在不刷新的情况下使用;
如果将token存储在可见区域如localStorage,那么是以什么目的呢?记住用户名与密码这种? A登录的时候后台仅仅验证token的话,那确实是可以登录的,网站对安全性没有要求其实无所谓。如果网站要求高,你的token就不能存储成明文了,需要手动加密解密
梦里花落0921
TA贡献1772条经验 获得超6个赞
是这样啊,拿到了token确实可以请求啊。但是一般都有时效性,一定时间内能用;还有有些公司人家会验证是否常用IP请求啊 这些来达到验证的目的;就假设我给你token了,但是token里面我有IP加密的,你换个地方去登录就登不了啊
- 2 回答
- 0 关注
- 3041 浏览
添加回答
举报
0/150
提交
取消