web系统怎么防止用登录后的token程序模拟请求接口
source link: https://www.oschina.net/question/4440732_2325061
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
web系统怎么防止用登录后的token程序模拟请求接口
web系统,尤其是前后端分离的系统,用户登录之后,F12可以直接看到token,拿到token可以轻易的用程序模拟请求服务端接口,前后端不分离的系统是不是没有这个问题?前后端分离的系统怎么解决这个问题?
都有此问题
- 前后端不分离的WEB,暴露少很多
- 前后端分离的WEB,暴露很多Api,容易被推测出来数据库和架构
加随机盐或者通过请求协议等来预防,不过都没卵用,只是把模拟门槛相对提高了。
如果不是黑客攻击了你的电脑,那么首先得别人能堂而皇之的拿到你的电脑(或者来到你的电脑前正好你的电脑打开了,同时已经登录了你的系统),然后大摇大摆的对你已经登录的浏览器进行F12调试,然后拿到你的token.....试问,你是站在旁边看着别人做这一切?还是你是随便把电脑丢大马路上?你的token真有这么容易被人拿到吗?
看了评论,我真的又想再说几句,有一种对技术的过度安全化。感觉有一种我为了防止贼偷我的钥匙去开我的锁偷我东西,那我就每隔一个小时换一把锁,这样即使小偷拿到了我的钥匙,我换了锁他也开不了(这不是搞笑吗)。技术最终的使用者也是人。使用者没有安全意识,你技术再怎么牛都防不了。相反你为了防止token被别人获取,加各种措施,浪费资源又增加服务器的负担。这是杀敌一千自损八百!
没法避免,只能提高对方的模拟成本,所有的权限系统的本质都是用户拥有某个权限标识,通过这个标识来验证是否通过,当然为了更安全,我们可能会对登录期间的IP,浏览器指纹等进行验证,这些信息发生变化则强制登录,如果是安全性更高的系统,都会要求安装一些插件,这一块就不熟悉了
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK