为了账号安全,请及时绑定邮箱和手机立即绑定

关于jwt生成的token和session的安全性问题

关于jwt生成的token和session的安全性问题

慕姐4208626 2018-10-10 21:38:07
现在我所做的项目是前后端分离的,主要是api接口的开发,登陆逻辑是这样的,首先用户使用账号密码登陆,如果正确的话会自动生成一个token,并将token存放在redis中,同时将token返回给前端,之后前端每次调用api接口的时候都会在http的head中增加一个"X-TOKEN"的头,里面存放的就是token值,之后就会将该token和redis中的比较,看是否能成功。问题在于,如果有人拦截获取了这个token值,比如说用户连接了他家的wifi,然后设计一个ajax按照那个逻辑存放token值然后访问api接口,不就可以直接获取数据了吗,这样做的安全性在哪???
查看完整描述

2 回答

?
宝慕林4294392

TA贡献2021条经验 获得超8个赞

token不是为了解决安全问题的 token不是为了解决安全问题的 token不是为了解决安全问题的

查看完整回答
反对 回复 2018-10-14
?
慕哥6287543

TA贡献1831条经验 获得超10个赞

你用session也一样可以用相同的方法攻击
要解决这个问题得靠https

查看完整回答
反对 回复 2018-10-14
  • 2 回答
  • 0 关注
  • 1829 浏览
慕课专栏
更多

添加回答

举报

0/150
提交
取消
意见反馈 帮助中心 APP下载
官方微信