jwt token 放在请求头是安全的吗,浏览器的开发者工具是可以看到请求的token值的 5C

TOKEN 后端进行加密,前台接收后每次请求放在头部发给后台做解密效验

有以下疑惑:
1.TOKEN 放在头部的话 浏览器打开开发者工具是可以看到请求头上的TOKEN值的,很容易就获取到了。
2.被人拿到token值不就可以为所欲为了吗,那后台解密还有啥用?,和传一个普通的字符串有啥区别,被截取到就完蛋了?
3.在网上有看到说https 看不到请求头的token值,我试了下可以看到啊

哪位大神解答一下,困扰了很久也找不到答案!

3个回答

抓包工具的确是可以看到,https可以阻止中间人嗅探,但是不能阻止本机抓包。
要安全的话,可以每次服务器随机生成一个数,客户端用这个数和提交的参数放在一起做签名,服务器再验证,这么做可以使得用户相同参数的请求只能提交一次,并且不能修改参数再次提交。
在客户端没有破解的前提下,会比较安全。

可以每次请求生成一个动态的口令,放在session中,后台 从session中获取口令解密,做到一次一加密

拿到一个加过密的字符串,没有密钥解不开

Csdn user default icon
上传中...
上传图片
插入图片
抄袭、复制答案,以达到刷声望分或其他目的的行为,在CSDN问答是严格禁止的,一经发现立刻封号。是时候展现真正的技术了!
立即提问

相似问题

1
Spring boot Security 多种登录方式混合?
1
SpringBoot+security+oauth2+jwt 整合怎么搞?
1
说JWT已经过期 但是从哪里来改这个过期时间啊
1
jwt登录过期的问题求大佬指教
2
关于JWT Token的问题 如何保证接口安全性 不能被随意访问
2
SpringBoot前后端分离API接口怎么保证API接口的安全性?
1
如何自定义jango-resetframework-JWT的返回错误信息
2
用passport-jwt验证token时报错'JwtStrategy requires a function to retrieve jwt from requests '
0
怎样计算e^jwt从负无穷到正无穷对t的积分,要求写出详细步骤,不要使用频移特性
0
springcloud oauth2.0 jwt 前后端分离的几个问题
0
如何对jwt生成的token 实现验证(已经可以验证)、过期处理以及token刷新
3
如何取得token里面的值呢
5
单例类里面用id做key和我现在这种写法有什么区别呢
2
springsecurity oauth2 整合 /oauth/token 如何返回自定义数据结构
0
.NET CORE中使用jwt验证,可以设置全局验证吗?
1
cas和token鉴权有什么区别
1
Failed to retrieve data from /webhdfs/v1/?op=LISTSTATUS: Server Error,同时无法put文件到hdfs
0
axios 配合jwt过期后使用refreshToken 刷新token ,如何记录之前的请求并在刷新之后无缝发送这个请求
1
高德地图、百度地图这些地图服务,在请求api时都需要带上key值,是如何对key做权限验证的?
1
spring oauth2(jwt)密码模式为什么还需要clientId,多个资源服务器为什么能用同一个token?