首页 新闻 赞助 找找看

Api Token

0
[待解决问题]

Api接口A用户登录以后,服务器下发一个Token,如果这个Token被别人抓到,别人直接用这个Token操作接口,怎么办?

轶寒的主页 轶寒 | 初学一级 | 园豆:4
提问于:2020-05-10 21:19
< >
分享
所有回答(4)
0

了解非对称加密流程,了解https

花飘水流兮 | 园豆:13560 (专家六级) | 2020-05-10 21:38

好的,谢谢

支持(0) 反对(0) 轶寒 | 园豆:4 (初学一级) | 2020-05-11 12:11
0

1.https,防止请求截取
2.token有效期设定
3.token权限设定
4.token的加密密钥泄露问题防范

gt1987 | 园豆:1150 (小虾三级) | 2020-05-11 10:28

场景是用户A登录了,然后进入了系统,然后他出门去了,这个时候陌生人B进了A的家,通过浏览器检查,拿到了用户A的token,然后这个陌生人自己写个系统用拿到的Token操作数据

支持(0) 反对(0) 轶寒 | 园豆:4 (初学一级) | 2020-05-11 11:06

@轶寒:
1.这种方式无解,这是为什么我们不要在公共电脑上随意登录密码的原因
2.token的有效期设定和权限设定,可以有效降低 意外情况下 token 被盗取,对系统安全的损失情况

支持(0) 反对(0) gt1987 | 园豆:1150 (小虾三级) | 2020-05-11 11:15

@xiaogui340: Token抓包具体是怎样的,可以简单描述下吗?我一直以为是我刚描述的那种情景

支持(0) 反对(0) 轶寒 | 园豆:4 (初学一级) | 2020-05-11 11:48

@轶寒: 建议 去了解下 https 加密过程,就明白了。

支持(0) 反对(0) gt1987 | 园豆:1150 (小虾三级) | 2020-05-11 13:09

@轶寒: 给token加上一个机器码的验证呢。

支持(0) 反对(0) 魔力员 | 园豆:225 (菜鸟二级) | 2020-05-12 09:42
0

结合你上面在回答2中的说明,你这属于物理攻击了,软件层面怎么都无法防范的,能做的只有2步:

  1. https(防止劫持)
  2. 把token的有效期缩短,减小风险。
Timetombs | 园豆:3954 (老鸟四级) | 2020-05-11 12:06

好的,谢谢

支持(0) 反对(0) 轶寒 | 园豆:4 (初学一级) | 2020-05-11 12:10
0

1.https,防止请求截取
2.token有效期设定
3.token权限设定
4.token的加密密钥泄露问题防范
--------------- 上面的为抄袭 --------------------------
5.token里面应该加入客户的浏览器信息、且只能单点登录

IPeanut | 园豆:223 (菜鸟二级) | 2020-05-13 18:09
清除回答草稿
   您需要登录以后才能回答,未注册用户请先注册