关于jwt生成的token和session的安全性问题
现在我所做的项目是前后端分离的,主要是api接口的开发,登陆逻辑是这样的,
首先用户使用账号密码登陆,如果正确的话会自动生成一个token,并将token存放在redis中,同时将token返回给前端,之后前端每次调用api接口的时候都会在http的head中增加一个"X-TOKEN"的头,里面存放的就是token值,之后就会将该token和redis中的比较,看是否能成功。
问题在于,如果有人拦截获取了这个token值,比如说用户连接了他家的wifi,然后设计一个ajax按照那个逻辑存放token值然后访问api接口,不就可以直接获取数据了吗,这样做的安全性在哪???
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(3)
你用session也一样可以用相同的方法攻击
要解决这个问题得靠https
token不是为了解决安全问题的 token不是为了解决安全问题的 token不是为了解决安全问题的
token 是为了解决跨越问题的。 而你说的问题中间人攻击,设计传输层安全了,这不是应用层能解决的,正如上面朋友所说的,如果你有一颗不安的心,那你最好用https了