Api Token

[待解决问题]

Api接口A用户登录以后，服务器下发一个Token，如果这个Token被别人抓到，别人直接用这个Token操作接口，怎么办？

轶寒 | 初学一级 | 园豆：4
提问于：2020-05-10 21:19

< >

所有回答(4)

了解非对称加密流程，了解https

花飘水流兮 | 园豆：13615 (专家六级) | 2020-05-10 21:38

好的，谢谢

支持(0) 反对(0) 轶寒 | 园豆：4 (初学一级) | 2020-05-11 12:11

1.https，防止请求截取
2.token有效期设定
3.token权限设定
4.token的加密密钥泄露问题防范

gt1987 | 园豆：1150 (小虾三级) | 2020-05-11 10:28

场景是用户A登录了，然后进入了系统，然后他出门去了，这个时候陌生人B进了A的家，通过浏览器检查，拿到了用户A的token，然后这个陌生人自己写个系统用拿到的Token操作数据

支持(0) 反对(0) 轶寒 | 园豆：4 (初学一级) | 2020-05-11 11:06

@轶寒:
1.这种方式无解，这是为什么我们不要在公共电脑上随意登录密码的原因
2.token的有效期设定和权限设定，可以有效降低意外情况下 token 被盗取，对系统安全的损失情况

支持(0) 反对(0) gt1987 | 园豆：1150 (小虾三级) | 2020-05-11 11:15

@xiaogui340: Token抓包具体是怎样的，可以简单描述下吗？我一直以为是我刚描述的那种情景

支持(0) 反对(0) 轶寒 | 园豆：4 (初学一级) | 2020-05-11 11:48

@轶寒: 建议去了解下 https 加密过程，就明白了。

支持(0) 反对(0) gt1987 | 园豆：1150 (小虾三级) | 2020-05-11 13:09

@轶寒: 给token加上一个机器码的验证呢。

支持(0) 反对(0) 魔力员 | 园豆：225 (菜鸟二级) | 2020-05-12 09:42

结合你上面在回答2中的说明，你这属于物理攻击了，软件层面怎么都无法防范的，能做的只有2步：

Timetombs | 园豆：3959 (老鸟四级) | 2020-05-11 12:06

好的，谢谢

支持(0) 反对(0) 轶寒 | 园豆：4 (初学一级) | 2020-05-11 12:10

1.https，防止请求截取
2.token有效期设定
3.token权限设定
4.token的加密密钥泄露问题防范
--------------- 上面的为抄袭 --------------------------
5.token里面应该加入客户的浏览器信息、且只能单点登录

IPeanut | 园豆：223 (菜鸟二级) | 2020-05-13 18:09

清除回答草稿

您需要登录以后才能回答，未注册用户请先注册。

欢迎，请先 登录 或者 注册 。