Token的安全问题。
0
悬赏园豆:10
[待解决问题]
是这样的,
目前想做一个前后端分类的应用, 后端采用web api,使用identity server4 做认证中心。
前端用用户名和密码获取token,然后用token访问api资源。
那么,我想问的是, 如果 此时我的token 没有过期,并且被别人恶意抓包,,,
这样 岂不是它也可以 用这个token 模拟一个请求,获取我的资源了?
所有回答(4)
0
是的.不过你说的这种级别的安全.必须要有客户端应用状态客户电脑上.
通过浏览器无法保证你说的情况的安全.
0
token + cookie
1
1、先要确定系统,是不是涉及到money或者相当重要的资料。
如果不是,就不要假设token被抓包的情况了,因为同样,你还可以假设获取token的过程,用户名和密码都被抓了,对不。
2、如果要做绝对安全,那就要花点心思了,方法也相当多。
比如,每次请求,不发送token,而是发送一个加密:(时间+token)的东西,服务端解密,二次验性。(需要客房端和服务端共享一个key来加密或解密)
可以更进一步,这个加密key用完,服务端记录一下,(不可二次使用)。
3、或者更为严格的方案,防止参数修改的方案:
服务端需要存(userid,token)字典。
客户端把各种参数按顺序排列+token+时间,加密产生一个key,发过去,包括userid。
服务端收到也同样,根据userid拿出token,加密码,比对。。。。
反正,各种都可以,看安全性的要求,越严格,代码就会相对复杂(包括调用端)。
0
1.安全问题首先防范自己的服务安全性,恶意抓包 需要防范自己服务调用过程中被恶意 大量 抓包。
这点 https 可以防范。
但对于个人电脑上比如 被监控或者 木马等各种原因,这个是服务端没法防范的。
2.对于上面的情况,属于个人信息丢失性,服务端能做的事 是提供提供完善的善后处理,包括操作记录、数据分析等等之类的
3.假如个人token丢失,我们能保证的是 这个token的权限范围,只能查询token所属个人的相关信息,甚至个人信息 还区分权限设置等。