关于 token 被盗取的问题

2020-10-22 11:04:06 +08:00
 gaorenhua

前后端分离开发的时候,服务端 api 一般都喜欢用 jwt,大家都一直在提 token 被盗取了怎么办? token 是如何被盗取的呢?可能就是人为的泄露账号密码?可能是被钓鱼,电脑被挂马? 网上好多人说用 fidder 抓取之后可以看到 token,我想知道是咋看到的,是你在用户端安装了 fidder 用控制了人家的电脑吗? 还有木有别的泄露的可能? 求教。

6642 次点击
所在节点    Java
25 条回复
unco020511
2020-10-22 16:30:40 +08:00
https 基本都 ok 了,然后定期刷新 token
liaoliaojun
2020-10-22 16:51:13 +08:00
设置 http only,客户端无法获取到 cookie,就不能从 web 端盗取了
vzyw
2020-10-23 00:09:19 +08:00
jwt 可以注销的 后端把 jwt 整个字符串存 redis 里 先判断 redis 里也没有这个 jwt string 再验证 jwt 。注销就是删除这个 jwt
@wunonglin
nong99
2020-10-23 07:09:35 +08:00
@redtea 这个方法貌似简单暴力哦~
有两点请教:
1 如何在服务端有效的存储这个随机 token 和检验下次请求呢
2 但是本身也会暴露了传回的这个 csrf token 呢?
redtea
2020-10-23 08:14:22 +08:00
@nong99 这个方案主要是用在 post 上,防止盗 token 的人提交请求。存 redis 就行了。要防暴露的话就用 https 。暴露了也没关系,用一次就没用了。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/717368

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX