前端在用户登录后获得后端传来的token储存在本地(localStrong、cookie或者内存中)假设A获得B的token,那调取接口时A带上B的token不就可以冒充B了,是这样吗?
2 回答
函数式编程
TA贡献1807条经验 获得超9个赞
仅以单页应用为例:
先使用用户名、密码、验证码等进入授权URL获取token,获取到token之后跟后台建立连接继而可以获取数据
一般来说此token是不会往cookie以及localStorage等地方存储的,仅仅放在全局变量中,这时候你换账号登录就没办法获取到了,仅仅限于当前页面且在不刷新的情况下使用;
如果将token存储在可见区域如localStorage,那么是以什么目的呢?记住用户名与密码这种? A登录的时候后台仅仅验证token的话,那确实是可以登录的,网站对安全性没有要求其实无所谓。如果网站要求高,你的token就不能存储成明文了,需要手动加密解密
- 2 回答
- 0 关注
- 651 浏览
添加回答
举报
0/150
提交
取消