java - jwt　token安全性问题.

问题描述

问 题

Ａ,Ｂ系统是前后端分离的。
(两个系统跨域)
现在Ａ系统一个页面跳转到Ｂ系统中。
现在是用的跳转到Ｂ系统，地址栏中带了一个加密token (包含用户id).帮其自动登陆上了。
此页面显示的商品信息和该用户的折扣。

此时假如我知道了别人的token，然后修改地址栏。页面就变成别人的信息了。

此时我都不知道别人的账号密码，然后就获得了别人的一些用户信息.

解决方案

题主这是真实场景的情况吗？

如果你能得到别人的 token，相当于窃听了他的密码，这不是 JWT 的安全问题。

与 JWT 本身有关的措施，就是加入过期时间，强制 JWT 在一定时间后失效。

根据 JWT 规范，JWT 最好是放在请求头部 Authorization 中，不要放在 URL 里。

HTTPS 是有用的。

这篇关于java - jwt　token安全性问题.的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！