TOKEN 后端进行加密,前台接收后每次请求放在头部发给后台做解密效验
有以下疑惑:
1.TOKEN 放在头部的话 浏览器打开开发者工具是可以看到请求头上的TOKEN值的,很容易就获取到了。
2.被人拿到token值不就可以为所欲为了吗,那后台解密还有啥用?,和传一个普通的字符串有啥区别,被截取到就完蛋了?
3.在网上有看到说https 看不到请求头的token值,我试了下可以看到啊
哪位大神解答一下,困扰了很久也找不到答案!
jwt token 放在请求头是安全的吗,浏览器的开发者工具是可以看到请求的token值的
- 写回答
- 好问题 0 提建议
- 追加酬金
- 关注问题
分享- 邀请回答
-
9条回答 默认 最新
threenewbee 2019-09-17 10:08关注抓包工具的确是可以看到,https可以阻止中间人嗅探,但是不能阻止本机抓包。
要安全的话,可以每次服务器随机生成一个数,客户端用这个数和提交的参数放在一起做签名,服务器再验证,这么做可以使得用户相同参数的请求只能提交一次,并且不能修改参数再次提交。
在客户端没有破解的前提下,会比较安全。评论 打赏解决 3无用 1举报 分享
- 2022-05-28 23:23回答 1 已采纳 首先拿到token可以存到浏览器缓存session,cookies,storage等 $.ajax({ headers: { "testheader": "test"
- 2022-05-25 10:38回答 2 已采纳 前端放请求头,后端校验
- 2022-05-08 12:21回答 3 已采纳 可以使用,所以一般要设置有效期。望采纳,谢谢
- 2020-11-04 11:23V_Chicken的博客 在使用JWT作为单点登录验证媒介时,为保证安全行,建议将JWT的信息存放在HTTP的请求头中,并使用https请求链接进行加密传输,如下所示: 问题 由于项目是前后端分离的,不可避免的就产生了跨域问题,导致...
- 2019-07-26 12:15回答 1 已采纳 The c.Get("user") returns nil value, and what you did was performing type assertion on nil value,
- 2022-04-22 08:13回答 2 已采纳 我司对外业务应该是cookie的方式,不是jwt方式,登录会返回access_token 和 refresh_token,当access_token过期可以拿 refresh_token 去换取新的
- 2018-11-29 01:46回答 3 已采纳 如果是app项目的接口可以使用token来鉴权,web项目的话我的方法是使用session处理的拦截器
- 2019-08-22 16:45杨宗健的博客 "tymon/jwt-auth": "^1.0.0-rc.1" 2. 运行以下命令,更新依赖: composer update 3. 运行以下命令, 生成jwt.php配置文件: php artisan vendor:publish --provider="Tymon\JWTAuth\Prov...
- 2021-10-22 17:25回答 2 已采纳 针对你的问题,我找到以下相关的链接,希望它对你有帮助:https://stackoverflow.com/questions/56542579/where-and-how-to-store-the-a
- 2019-12-11 17:33回答 2 已采纳 jwt的非对称加密是通过私钥签名,公钥验签的,因为服务端没有存储,jwt一旦签发,只要没过期就可以一直使用的,除非你把jwt也存redis里面再进行一次拦截判断
- 2022-01-20 17:11回答 3 已采纳 原因:前端axios访问没有携带shiro的jsession的cookie 导致shiro每次都会进行认证登录解决:开启axios携带cookie和后端开启跨域允许携带cookie就不会一直进行shi
- 2020-12-18 22:03weixin_39786850的博客 晚风合天智汇在开发网络应用时,不管是移动端的 APP 也好,还是 web 端 APP 也好,只要有用户群体存在,都绕不开身份认证这个话题,选择一种好的身份认证方法常常在应用安全中起到了至关重要的作用。目前用的最多的...
- 2021-12-16 10:20回答 3 已采纳 举个例子公钥解析 private static Jws<Claims> parserToken(String token, PublicKey publicKey) {
- 2023-11-24 21:23LeoToJavaer的博客 ✅作者简介:大家好,我是Leo,热爱Java后端开发者,一个想要与大家共同进步的男人✨特色专栏:本文内容:JWT和Token之间的区别,欢迎大家访问个人知识库:,欢迎大家访问。
- 2021-05-14 04:49使用Shiro+JWT完成的微信小程序的登录 你也可以在csdn中查看讲解 微信小程序用户登陆,完整流程可参考下面官方地址,本例中是按此流程开发 你需要了解的点 微信小程序的登录流程 Shiro的基础知识 JWT以及Token 项目...
- 没有解决我的问题, 去提问
悬赏问题
- ¥15 素材场景中光线烘焙后灯光失效
- ¥15 请教一下各位,为什么我这个没有实现模拟点击
- ¥15 执行 virtuoso 命令后,界面没有,cadence 启动不起来
- ¥50 comfyui下连接animatediff节点生成视频质量非常差的原因
- ¥20 有关区间dp的问题求解
- ¥15 多电路系统共用电源的串扰问题
- ¥15 slam rangenet++配置
- ¥15 有没有研究水声通信方面的帮我改俩matlab代码
- ¥15 ubuntu子系统密码忘记
- ¥15 保护模式-系统加载-段寄存器