token 被盗引发的数据安全问题

那 guess 用户拿到了 admin 用户的密码去登陆，也需要识别出这个用户的 guess 用户🐶。

如果你们接口有 PII ，用 admin token 读到了 guest 的 PII 也算是越权了。

这个，好奇最后 怎么解决

@jones2000 服务器端怎么知道拿哪个用户密钥解 token ？

这得看你们用的是什么类型的 token.
如果是 Bearer Token ，那测试人员提出的无意义.
如果 token 中不包含用户信息，是账号+token 认证，那么确实会有安全隐患.
就好比你大街上捡了把钥匙，你得知道这个钥匙对应哪户人家.

这测试太 tm sb 了，要说唯一的缺点，就是关键用户没有多因子认证，我如果管理员是密码+手机，然后你还拿 token 去复制

那只能说 sb

管理员就是管理员，普通账号的信息都读不到叫什么管理员，现在都是实名制，出现啥问题还要上级汇报，凭啥管理员不能读普通用户的身份信息。。

@liuzhen 安全性和便利性，看怎么取舍了

@deplivesb 银行这种强调安全性应用，这样搞我觉得一点问题没有

教一下那些等保人员，用高权限请求了成功低权限用户的数据不叫越权，用低权限请求成功了高权限用户的数据才叫越权，名叫“垂直越权”；再给他们科普一下还有一个东西叫“平行越权”。

啊，我司也在过二级等保，测评人员没测这种问题；
大家伙都是过三级等保的吗

等保要的是分数而已，不代表所有的问题都要整改。

你们测试真逗

别提了，之前遇到了银行的测试，说这个请求复制 cookie 就能用工具复现了，不安全

单 token 也不行的啦，还有个每次请求都生成一个随机校验 id ，服务端校验

是同一台机器不，同一台机器切换浏览器也应该要掉线吧

你家里有一把钥匙。平时你带着，其他人不可能开门。

有一天，你出门时钥匙掉地上了。被张三捡了了，于是乎你家被张三进去了。

---

所以我认为修复方案就是 token 加上用户设备识别。 例如上面按理，钥匙加一个 NFC 识别。张三捡到，但是没有 NFC 识别是钥匙主人，他还是开不了锁。

你们就直接给他们 guest 权限就好了 别让他们知道有 admin 权限

@veike 请求数据的时候把账号名也发过去。

@Felldeadbird 一会儿 测试人员会说，张三又捡到了你的手机 NFC 呢。 那些土鸡是教不了的，脑子的问题，非常的烂。
@liuzhen 这个社会就是存在很多这样的人，脑子逻辑思维非常的差，脱了裤子放屁的事情经常干。我很难过，为啥教不懂他们呢，稍微正常的脑子就能理解的事情。
@coosir 你错了，测试人员会把 user_name 也替换成 admin ，然后又来盘你。
@karloku 是的这个回答最经典，那群土鸡会假设管理员被绑架了，被绑匪盘出密码了，然后他们会得到结论绑匪居然使用密码能正常登录，现实中有太多这样的人了。