现在网站基本都是用token来做身份验证,因为token不容易伪造。我自己有以下疑问:用户登录的时候服务端会返回一个token,客户端会把这个token存入本地,比如存入cookie中,然后在发送http请求的时候会带上cookie,既然这个token还是存在cookie中,那不也是不安全的吗?
2 回答
慕田峪9158850
TA贡献1794条经验 获得超7个赞
除非token是一次性的,用完就丢的那种,否则总要有个地方存的。安全是相对的,存在用户的本地,只要用户的本地环境是安全的,那么token也是相对安全的。如果用户本地不安全,那么一切安全都无从谈起。
一只斗牛犬
TA贡献1784条经验 获得超2个赞
能拿到token的前提是你拥有账号密码。而账号密码的泄漏代码怎么防范?而cookie的生命周期为浏览器会话期间有效,关闭浏览器窗口,cookie就会消失。所以你的担心是多余的。当然也不排除,你人走了浏览器没有关闭,人家偷偷记录。同样的代码没办法控制。
添加回答
举报
0/150
提交
取消