token 被盗引发的数据安全问题

跟一帮废物共事，就是会遇到各种奇葩问题

主机都被劫持拿到 token 了，你说其他的还有意义嘛？
这种角度的安防就别做了，用户的手机验证码已经给坏人监听了。
咋了你这样防只会防到正常用户，最多就是加一个浏览器版本和 ID 。
其他的做了，会干扰正常用户。

≈短信验证码被盗引发的数据安全问题（ doge

管理员被绑架引发的数据安全问题(

token："我" 越权了 "我" ？

我们系统是做了 ip 校验，登录时的 ip 和操作 ip 不一样就强制下线

这兄弟是想证明垂直越权吧，貌似搞反了，常规操作，要拿也是拿低权限的身份识别信息(SessionID 、JWT 信息)去高权限的账号请求接口去替换，而不是拿高权限的身份去请求低身份请求。

他拿 admin 的账户密码还能登录 admin 账户呢.

拿没有权限的账号 token 替换 admin 用户的还能请求通过才能说明有垂直越权吧？

是不是对越权理解不正确？

以前貌似听说过一种叫做“浏览器指纹”的技术，可以用来做广告跟踪，或许可以用 token 和它绑定。不过这只是一种传说中的技术，感觉挺黑科技的，实际上如何不晓得。。。简单的做法就是 token 和用户 id 绑定，请求的时候把用户 id 也传过来。或者，可以设置多个 token 字段，让他们想复制都不知道要复制哪一个。

这不等同于我拿了 admin 的账号和密码去登陆 admin 账号么……

或者对 admin 账号做单独限制 用 one-time token 试试看

这个是有办法的，只要 token 里面存储客户端指纹就可以解决。验证 token 的时候比对指纹，像这种 geust 的 token 换成 admin 的 token ，指纹比对就过不去。

如果想达到这种测试用例的安全效果的话，必然会牺牲用户的使用体验。安全的意义主要在于加大用户破解成本，而不是保证绝对的安全，因为根本不存在绝对的安全。
例如，我就见过客户端登陆时把密码直接加密 md5 再发送的情况。这种的确安全一点，但是没多大意义，如果有人通过 HTTPS 能直接获取你的登录密码了，那加个密还有屁用。

最近看到一篇文章
token 给 2 个 一个 token 一个 refreshToken
token 时间过了 就用 refreshToken 重新获取 token
token 放 Authentication ，refresh Token 放 cookie

还有脑残人员让我把 waf 关掉，来 xss ，
最后让我整改，说有高危 xss 漏洞，
我 tm 上防火墙的目的就是过滤注入 xss 。

让你把防盗门拆掉，他进去又指责你家不安全，没有防护措施。

每个用户单独发证书，token 使用每个用户对应的证书加密。 这样就算替换了用户， 原来的 token 是无法解密的。

等保就是瞎搞。

算用户的机器码？