首页 新闻 会员 周边 捐助

Token的安全问题。

0
悬赏园豆:10 [待解决问题]

是这样的,
目前想做一个前后端分类的应用, 后端采用web api,使用identity server4 做认证中心。

前端用用户名和密码获取token,然后用token访问api资源。

那么,我想问的是, 如果 此时我的token 没有过期,并且被别人恶意抓包,,,
这样 岂不是它也可以 用这个token 模拟一个请求,获取我的资源了?

KotobukiTsumugi的主页 KotobukiTsumugi | 初学一级 | 园豆:23
提问于:2019-03-24 18:14
< >
分享
所有回答(4)
0

是的.不过你说的这种级别的安全.必须要有客户端应用状态客户电脑上.
通过浏览器无法保证你说的情况的安全.

吴瑞祥 | 园豆:29449 (高人七级) | 2019-03-24 18:33
0

token + cookie

jqw2009 | 园豆:2341 (老鸟四级) | 2019-03-25 09:03
1

1、先要确定系统,是不是涉及到money或者相当重要的资料。
如果不是,就不要假设token被抓包的情况了,因为同样,你还可以假设获取token的过程,用户名和密码都被抓了,对不。

2、如果要做绝对安全,那就要花点心思了,方法也相当多。
比如,每次请求,不发送token,而是发送一个加密:(时间+token)的东西,服务端解密,二次验性。(需要客房端和服务端共享一个key来加密或解密)
可以更进一步,这个加密key用完,服务端记录一下,(不可二次使用)。

3、或者更为严格的方案,防止参数修改的方案:
服务端需要存(userid,token)字典。
客户端把各种参数按顺序排列+token+时间,加密产生一个key,发过去,包括userid。
服务端收到也同样,根据userid拿出token,加密码,比对。。。。

反正,各种都可以,看安全性的要求,越严格,代码就会相对复杂(包括调用端)。

路过秋天 | 园豆:4787 (老鸟四级) | 2019-03-26 00:21
0

1.安全问题首先防范自己的服务安全性,恶意抓包 需要防范自己服务调用过程中被恶意 大量 抓包。
这点 https 可以防范。
但对于个人电脑上比如 被监控或者 木马等各种原因,这个是服务端没法防范的。
2.对于上面的情况,属于个人信息丢失性,服务端能做的事 是提供提供完善的善后处理,包括操作记录、数据分析等等之类的
3.假如个人token丢失,我们能保证的是 这个token的权限范围,只能查询token所属个人的相关信息,甚至个人信息 还区分权限设置等。

gt1987 | 园豆:1150 (小虾三级) | 2019-07-25 09:27
清除回答草稿
   您需要登录以后才能回答,未注册用户请先注册