token盗用问题?-灵析社区
拽嘻嘻在前后端分离的项目中,如果客户端携带的token被其他人获得了,其他人使用该token请求得到该用户的数据。有什么方法可以解决这个问题吗? 目前想到的是:在token中携带登录时的设备IP,同时采用对token进行签名避免篡改,在请求数据的时候验证IP是否一致,不一致则返回重新登录。
今天吃什么你说吧«目前想到的是:在token中携带登录时的设备IP,同时采用对token进行签名避免篡改,在请求数据的时候验证IP是否一致,不一致则返回重新登录。»
移动设备(手机)的IP,十分不稳定,网络条件发生变化就可能变。另外,如果用户处于 WiFi 和 流量 的边缘,那不是一会儿连上 WiFi
又要重新登录,WiFi 断了又要重新登录?
正确的做法就是上 HTTPS。