token被截获，如何防止

问题：用security+jwt 方案进行登录认证。那么登录成功后，生成的token如何防止被窃取

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除
收藏举报

1条回答默认最新

CSDN-Ada助手 CSDN-AI 官方账号 2023-05-11 21:18

关注

帮你找了个相似的问题, 你可以看下: https://ask.csdn.net/questions/7689696
这篇博客你也可以参考下：第七章：使用jwt token的方式来进行登录
除此之外, 这篇博客: Security之整合JWT篇中的 4、第一阶段，登录认证，获取token 部分也许能够解决你的问题, 你可以仔细阅读以下内容或跳转源博客中阅读:

首次登录，还是以传统的表单登录模式，所以我们可以直接使用UsernamePasswordAuthenticationFilter来拦截/login进行认证处理，不过我这里自定义了一个JwtAuthenticationFilter，其功能跟UsernamePasswordAuthenticationFilter差不多
JwtAuthenticationFilter 继承 UsernamePasswordAuthenticationFilter 并重写 attemptAuthentication

package com.yzm.security08.config;

import org.apache.commons.lang3.StringUtils;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.AuthenticationServiceException;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

public class JwtAuthenticationFilter extends UsernamePasswordAuthenticationFilter {

    public JwtAuthenticationFilter() {
        super();
    }

    public JwtAuthenticationFilter(AuthenticationManager authenticationManager) {
        super(authenticationManager);
    }

    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
        String username = obtainUsername(request);
        String password = obtainPassword(request);
        if (StringUtils.isBlank(username) || StringUtils.isBlank(password)) {
            throw new AuthenticationServiceException("用户名密码错误");
        }
		// 构造未鉴权的JwtAuthenticationToken 对象
        JwtAuthenticationToken authToken = new JwtAuthenticationToken(username, password);
        this.setDetails(request, authToken);
        return this.getAuthenticationManager().authenticate(authToken);
    }

}

JwtAuthenticationToken 继承 UsernamePasswordAuthenticationToken

package com.yzm.security08.config;

import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.GrantedAuthority;

import java.util.Collection;

public class JwtAuthenticationToken extends UsernamePasswordAuthenticationToken {

    public JwtAuthenticationToken(Object principal, Object credentials) {
        super(principal, credentials);
    }

    public JwtAuthenticationToken(Object principal, Object credentials, Collection<? extends GrantedAuthority> authorities) {
        super(principal, credentials, authorities);
    }
}

身份认证 Provider，获取UserDetails对象，校验密码，构造鉴权的Authentication对象

package com.yzm.security08.config;

import lombok.extern.slf4j.Slf4j;
import org.springframework.security.authentication.AuthenticationProvider;
import org.springframework.security.authentication.BadCredentialsException;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.password.PasswordEncoder;

@Slf4j
public class JwtAuthenticationProvider implements AuthenticationProvider {

    private final UserDetailsService userDetailsService;
    private final PasswordEncoder passwordEncoder;

    public JwtAuthenticationProvider(UserDetailsService userDetailsService, PasswordEncoder passwordEncoder) {
        this.userDetailsService = userDetailsService;
        this.passwordEncoder = passwordEncoder;
    }

    @Override
    public boolean supports(Class<?> authentication) {
        return JwtAuthenticationToken.class.isAssignableFrom(authentication);
    }

    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        JwtAuthenticationToken authenticationToken = (JwtAuthenticationToken) authentication;
        String username = (String) authenticationToken.getPrincipal();
        String password = (String) authenticationToken.getCredentials();

        UserDetails userDetails = userDetailsService.loadUserByUsername(username);
        if (userDetails == null) throw new UsernameNotFoundException("账号异常");

        if (!passwordEncoder.matches(password, userDetails.getPassword())) {
            throw new BadCredentialsException("凭证异常");
        }

        // 构造鉴权的JwtAuthenticationToken对象
        JwtAuthenticationToken resultToken = new JwtAuthenticationToken(username, password,
                userDetails.getAuthorities());
        resultToken.setDetails(authentication.getDetails());
        return resultToken;
    }
}

登录认证成功之后，返回token

package com.yzm.security08.config;

import com.yzm.common.utils.HttpUtils;
import com.yzm.security08.utils.JwtUtils;
import lombok.extern.slf4j.Slf4j;
import org.springframework.security.core.Authentication;
import org.springframework.security.web.authentication.SimpleUrlAuthenticationSuccessHandler;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.HashMap;
import java.util.Map;

@Slf4j
public class JwtAuthenticationSuccessHandler extends SimpleUrlAuthenticationSuccessHandler {

    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws ServletException, IOException {
        if (authentication instanceof JwtAuthenticationToken) {
            log.info("登录认证");
            JwtAuthenticationToken authenticationToken = (JwtAuthenticationToken) authentication;
            String username = (String) authenticationToken.getPrincipal();

            Map<String, Object> map = new HashMap<>();
            map.put(JwtUtils.USERNAME, username);
            String token = JwtUtils.generateToken(map);
            HttpUtils.successWrite(response, token);
        }
    }
}

您还可以看一下崔海焘老师的新版前后端接口安全技术JWT+RSA加密课程中的保证token一直有效-刷新token小节, 巩固相关知识点

以下回答由chatgpt基于相关博客总结生成:

为了防止他人截获或盗用登录令牌(token)，可以采取以下措施：

使用https协议传输数据，以确保通信过程中的加密安全性。
设置token过期时间，限制token的有效时间。
采用密钥对token进行签名，防止他人伪造。密钥只在服务器端存储，不要泄漏。
不在代码中明文显示密钥，可以采用将密钥写在配置文件中，然后读取配置文件获取密钥。
不能将token存储在客户端的cookie和localStorage中，避免被恶意攻击者获取。
需要对请求头进行验证，只有携带正确的token且未过期才能进行相关操作。

可以参考下面的代码：

// 配置JWT生成工具类
public class JwtTokenUtils {

    // 签名密钥，应与服务器端的密钥相同，保持安全
    private static final String secret = "yourSecretKey";

    // 过期时间，这里设置为2小时
    private static final long expireTime = 2 * 60 * 60 * 1000;

    /**
     * 生成token
     */
    public static String generateToken(String username, List<String> roles) {
        Date now = new Date();
        Date expireDate = new Date(now.getTime() + expireTime);
        Map<String, Object> claims = new HashMap<>();
        claims.put("username", username);
        claims.put("roles", roles);
        return Jwts.builder()
                .setClaims(claims)
                .setIssuedAt(now)
                .setExpiration(expireDate)
                .signWith(SignatureAlgorithm.HS256, secret)
                .compact();
    }

    /**
     * 验证token是否有效
     */
    public static boolean validateToken(String token) {
        try {
            Jwts.parser().setSigningKey(secret).parseClaimsJws(token);
            return true;
        } catch (Exception ex) {
            return false;
        }
    }

    /**
     * 从token中获取用户名
     */
    public static String getUsername(String token) {
        Claims claims = Jwts.parser().setSigningKey(secret).parseClaimsJws(token).getBody();
        return claims.get("username", String.class);
    }

    /**
     * 从token中获取用户角色
     */
    public static List<String> getRoles(String token) {
        Claims claims = Jwts.parser().setSigningKey(secret).parseClaimsJws(token).getBody();
        List<String> roles = (List<String>) claims.get("roles", List.class);
        return roles;
    }
}

// 配置JWT的过滤器
public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {

    @Override
    protected void doFilterInternal(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, FilterChain filterChain) throws ServletException, IOException {
        String token = httpServletRequest.getHeader("Authorization");
        if (token != null && token.startsWith("Bearer ")) {
            token = token.substring(7);
        }
        if (token != null && JwtTokenUtils.validateToken(token)) {
            String username = JwtTokenUtils.getUsername(token);
            List<String> roles = JwtTokenUtils.getRoles(token);
            UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(username, null, roles.stream().map(SimpleGrantedAuthority::new).collect(Collectors.toList()));
            SecurityContextHolder.getContext().setAuthentication(authentication);
        }
        filterChain.doFilter(httpServletRequest, httpServletResponse);
    }
}

// 配置权限管理器
@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private JwtAuthenticationTokenFilter jwtAuthenticationTokenFilter;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
            .addFilterAfter(jwtAuthenticationTokenFilter, UsernamePasswordAuthenticationFilter.class)
            .authorizeRequests()
            .antMatchers(HttpMethod.OPTIONS, "/**").permitAll()
            .antMatchers("/api/authenticate").permitAll()
            .anyRequest().authenticated();
    }

    @Override
    public void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(loginUserDetailsService);
    }

    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }
}

本回答被题主选为最佳回答 , 对您是否有帮助呢?

报告相同问题？

关注问题

jwt的token被别人复制后，他能使用吗？ java spring 后端
2022-05-08 12:21

回答 3 已采纳可以使用，所以一般要设置有效期。望采纳，谢谢
Java语言什么是symbol什么是token，能编写一个程序代码来举例说明这两者的不同么开发语言
2020-05-19 07:42

回答 1 已采纳没有听过 Symbol 这个概念呢，Token 是有的，主要就是进行权限校验的：https://blog.csdn.net/myjbase/article/details/91869537
如何在前端不暴露token java
2022-05-25 10:38

回答 2 已采纳前端放请求头，后端校验
jwt生成token
2021-11-21 18:17

想养一只萨摩耶～的博客 cookie如果被截获，用户就会很容易受到跨站请求伪造的攻击 4 增加了部署的复杂性，sessionId是一个特征值，表达信息不够丰富，不容易扩展，而且如果你后端应用时多节点部署，那么就需要实现session共享机制，不方便...
token和refresh_token问题？ mysql php
2022-05-18 10:37

回答 1 已采纳解答：第一：两种token都要给前端第二：两种token，存在内存，比如redis第三：当token失效过期时，需要refresh_token刷新token，此时refresh_token没有过期，过
提取token或者说xsrf-token python
2022-06-02 18:01

回答 2 已采纳 Python接口自动化之Token详解及应用_普通网友的博客-CSDN博客_python token 在上一篇Python接口自动化测试系
uniapp中写死token javascript vue.js
2022-07-21 18:51

回答 2 已采纳写死的话。直接在请求拦截写死。或者给 request统一加一个 header然后写上tokenhttps://blog.csdn.net/qq_60500942/article/details
JWT生成Token
2019-01-23 13:11

风雨过后&的博客 Json web token（JWT）是为了网络应用环境间传递声明而执行的一种基于JSON的开发标准（RFC 7519），该token被设计为紧凑且安全的，特别适用于分布式站点的单点登陆（SSO）场景。JWT的声明一般被用来在身份提供者和...
springboot token越权问题 java
2023-03-15 17:39

回答 3 已采纳一般服务端是通过token来识别你这一次登录用户的，token都换了，服务端自然会把你当成高权限的用户。
token参数解密可以用js逆向解决么 javascript python 开发语言
2021-10-31 15:42

回答 2 已采纳参数一般只有两种形式，服务端返回的参数，客户端Js文件中生成的参数。如果是本地Js中的可以分析加密过程。
header 传token问题 javascript postman
2022-04-23 19:34

回答 12 已采纳把token放在header里试试，注意key和接口要求的key要一致
【Java设计模式面向对象设计思想】七面向对象分析、面向对象设计和面向对象编程
2022-06-04 21:05

存在morning的博客 OOA、OOD、OOP 三个连在一起就是面向对象分析、设计、编程（实现），正好是面向对象软件开发要经历的三个阶段，想想之前为什么我们基本没有面向对象分析和设计，主要原因就是我们进行的都是面向过程编程，我们的视角...
如何自动获取token python 爬虫
2022-10-26 21:34

回答 7 已采纳经过对压缩混淆的js代码进行分析，得到了加密函数，具体流程如下首先访问 https://www.sgx.com/config/appconfig.json?v=e1be1215 获取"CMS_VER
OAuth2.0中的安全漏洞及避免方法：使用OAuth2.01.0B协议实现
2023-07-14 01:46

禅与计算机程序设计艺术的博客使用 HTTPS 加密传输数据：HTTP 通信往返于客户端与服务端之间，容易被中间人攻击，攻击者可以截获通信内容并篡改或窃取敏感数据。HTTPS 可提供身份认证、完整性检查、数据加密传输、防止重放攻击等安全功能，应当...
如何进行面向对象分析、面向对象设计和面向对象编程
2024-04-30 21:56

流星雨爱编程的博客未认证系统截获URL、Token和AppID之后，仍然可以通过重放攻击的方式，伪装成认证系统，调用这个 URL对应的接口。为了解决这个问题，我们可以进一步优化Token生成算法，即引入一个随机变量，让每次接口请求生成的 ...
没有解决我的问题, 去提问

问题事件

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
系统已结题 8月12日
关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
已采纳回答 8月4日
关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
创建了问题 5月11日

悬赏问题

¥15 运动想象脑电信号数据集.vhdr
¥15 三因素重复测量数据R语句编写，不存在交互作用
¥15 微信会员卡等级和折扣规则
¥15 微信公众平台自制会员卡可以通过收款码收款码收款进行自动积分吗
¥15 随身WiFi网络灯亮但是没有网络，如何解决？
¥15 gdf格式的脑电数据如何处理matlab
¥20 重新写的代码替换了之后运行hbuliderx就这样了
¥100 监控抖音用户作品更新可以微信公众号提醒
¥15 UE5 如何可以不渲染HDRIBackdrop背景
¥70 2048小游戏毕设项目

token被截获，如何防止

1条回答 默认 最新

问题事件

悬赏问题

1条回答默认最新