m0_37974328
自嗨怪
采纳率0%
2019-09-17 10:05

jwt token 放在请求头是安全的吗,浏览器的开发者工具是可以看到请求的token值的

5

TOKEN 后端进行加密,前台接收后每次请求放在头部发给后台做解密效验

有以下疑惑:
1.TOKEN 放在头部的话 浏览器打开开发者工具是可以看到请求头上的TOKEN值的,很容易就获取到了。
2.被人拿到token值不就可以为所欲为了吗,那后台解密还有啥用?,和传一个普通的字符串有啥区别,被截取到就完蛋了?
3.在网上有看到说https 看不到请求头的token值,我试了下可以看到啊

哪位大神解答一下,困扰了很久也找不到答案!

  • 点赞
  • 写回答
  • 关注问题
  • 收藏
  • 复制链接分享
  • 邀请回答

8条回答

  • qq_36616014 debug。。。 10月前

    获取之后可以直接访问api啊

    点赞 2 评论 复制链接分享
  • u014525726 会飞的鱼1993 2年前

    可以每次请求生成一个动态的口令,放在session中,后台 从session中获取口令解密,做到一次一加密

    点赞 1 评论 复制链接分享
  • caozhy 从今以后生命中的每一秒都属于我爱的人 2年前

    抓包工具的确是可以看到,https可以阻止中间人嗅探,但是不能阻止本机抓包。
    要安全的话,可以每次服务器随机生成一个数,客户端用这个数和提交的参数放在一起做签名,服务器再验证,这么做可以使得用户相同参数的请求只能提交一次,并且不能修改参数再次提交。
    在客户端没有破解的前提下,会比较安全。

    点赞 1 评论 复制链接分享
  • weixin_45545736 中二耿_ゞ 1年前

    拿到一个加过密的字符串,没有密钥解不开

    点赞 评论 复制链接分享
  • lou_xy lou_xy 5天前

    楼主有解决方案吗

    点赞 评论 复制链接分享
  • lou_xy lou_xy 5天前

    楼主有解决方案吗

    点赞 评论 复制链接分享
  • Lzq_1010 Lzq_1010 1年前

    jwt本身就是加密了,他获取了又怎样

    点赞 评论 复制链接分享
  • hh_qqqq hh_qqqq 5月前

    楼主有解决方案吗

    点赞 评论 复制链接分享

相关推荐