java - jwt token安全性问题.
本文介绍了java - jwt token安全性问题.的处理方法,对大家解决问题具有一定的参考价值,需要的朋友们下面随着小编来一起学习吧!
问题描述
问 题
A,B系统是前后端分离的。
(两个系统跨域)
现在A系统一个页面跳转到B系统中。
现在是用的跳转到B系统,地址栏中带了一个加密token (包含用户id).帮其自动登陆上了。
此页面显示的商品信息和该用户的折扣。
此时假如我知道了别人的token,然后修改地址栏。页面就变成别人的信息了。
此时我都不知道别人的账号密码,然后就获得了别人的一些用户信息.
解决方案
题主这是真实场景的情况吗?
如果你能得到别人的 token,相当于窃听了他的密码,这不是 JWT 的安全问题。
与 JWT 本身有关的措施,就是加入过期时间,强制 JWT 在一定时间后失效。
根据 JWT 规范,JWT 最好是放在请求头部 Authorization 中,不要放在 URL 里。
HTTPS 是有用的。
这篇关于java - jwt token安全性问题.的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持IT屋!
查看全文