jwt token 放在请求头是安全的吗，浏览器的开发者工具是可以看到请求的token值的

TOKEN 后端进行加密，前台接收后每次请求放在头部发给后台做解密效验

有以下疑惑：
1.TOKEN 放在头部的话浏览器打开开发者工具是可以看到请求头上的TOKEN值的，很容易就获取到了。
2.被人拿到token值不就可以为所欲为了吗，那后台解密还有啥用？，和传一个普通的字符串有啥区别，被截取到就完蛋了？
3.在网上有看到说https 看不到请求头的token值，我试了下可以看到啊

哪位大神解答一下，困扰了很久也找不到答案！

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除
收藏举报

9条回答

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
threenewbee 2019-09-17 10:08
关注
抓包工具的确是可以看到，https可以阻止中间人嗅探，但是不能阻止本机抓包。
要安全的话，可以每次服务器随机生成一个数，客户端用这个数和提交的参数放在一起做签名，服务器再验证，这么做可以使得用户相同参数的请求只能提交一次，并且不能修改参数再次提交。
在客户端没有破解的前提下，会比较安全。

解决 3

无用 1
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

报告相同问题？

关注问题

后端返回token怎么放到请求头里面 ajax html javascript
2022-05-28 23:23

回答 1 已采纳首先拿到token可以存到浏览器缓存session，cookies，storage等 $.ajax({ headers: { "testheader": "test"
如何在前端不暴露token java
2022-05-25 10:38

回答 2 已采纳前端放请求头，后端校验
jwt的token被别人复制后，他能使用吗？ java spring 后端
2022-05-08 12:21

回答 3 已采纳可以使用，所以一般要设置有效期。望采纳，谢谢
jwt生成token如何存放在请求头
2020-11-04 11:23

V_Chicken的博客在使用JWT作为单点登录验证媒介时，为保证安全行，建议将JWT的信息存放在HTTP的请求头中，并使用https请求链接进行加密传输，如下所示：问题由于项目是前后端分离的，不可避免的就产生了跨域问题，导致...
请求令牌时获取nil而不是* jwt.Token
2019-07-26 12:15

回答 1 已采纳 The c.Get("user") returns nil value, and what you did was performing type assertion on nil value,
关于jwt token自动刷新机制的一些思考和疑惑 http 其他前端网络协议
2022-04-22 08:13

回答 2 已采纳我司对外业务应该是cookie的方式，不是jwt方式，登录会返回access_token 和 refresh_token，当access_token过期可以拿 refresh_token 去换取新的
关于JWT Token的问题如何保证接口安全性不能被随意访问 java spring 小程序微信
2018-11-29 01:46

回答 3 已采纳如果是app项目的接口可以使用token来鉴权，web项目的话我的方法是使用session处理的拦截器
Laravel框架配置【JWT】自动验证放在【请求头】中的【 token】
2019-08-22 16:45

杨宗健的博客 "tymon/jwt-auth": "^1.0.0-rc.1" 2. 运行以下命令，更新依赖： composer update 3. 运行以下命令，生成jwt.php配置文件： php artisan vendor:publish --provider="Tymon\JWTAuth\Prov...
.netcore中使用jwt，我想知道access token是储存在哪儿的 .netcore http
2021-10-22 17:25

回答 2 已采纳针对你的问题，我找到以下相关的链接，希望它对你有帮助:https://stackoverflow.com/questions/56542579/where-and-how-to-store-the-a
关于Spring boot + SpringSecurity +jwt token失效的问题 maven spring
2019-12-11 17:33

回答 2 已采纳 jwt的非对称加密是通过私钥签名，公钥验签的，因为服务端没有存储，jwt一旦签发，只要没过期就可以一直使用的，除非你把jwt也存redis里面再进行一次拦截判断
springboot使用shiro+jwt验证前端每次携带jwt发送请求都会进行重新登录一次并生成新的session java spring boot 其他前端
2022-01-20 17:11

回答 3 已采纳原因：前端axios访问没有携带shiro的jsession的cookie 导致shiro每次都会进行认证登录解决：开启axios携带cookie和后端开启跨域允许携带cookie就不会一直进行shi
token是写死的吗_安全开发之 token 那些事
2020-12-18 22:03

weixin_39786850的博客晚风合天智汇在开发网络应用时，不管是移动端的 APP 也好，还是 web 端 APP 也好，只要有用户群体存在，都绕不开身份认证这个话题，选择一种好的身份认证方法常常在应用安全中起到了至关重要的作用。目前用的最多的...
jwt如何获取token java spring 有问必答
2021-12-16 10:20

回答 3 已采纳举个例子公钥解析 private static Jws<Claims> parserToken(String token, PublicKey publicKey) {
JWT和Token之间的区别
2023-11-24 21:23

LeoToJavaer的博客 ✅作者简介：大家好，我是Leo，热爱Java后端开发者，一个想要与大家共同进步的男人✨特色专栏：本文内容：JWT和Token之间的区别，欢迎大家访问个人知识库：，欢迎大家访问。
shiro-jwt-wx:微信小程序登录，使用shiro+JWT(Token）
2021-05-14 04:49

使用Shiro+JWT完成的微信小程序的登录你也可以在csdn中查看讲解微信小程序用户登陆，完整流程可参考下面官方地址，本例中是按此流程开发你需要了解的点微信小程序的登录流程 Shiro的基础知识 JWT以及Token 项目...
没有解决我的问题, 去提问

悬赏问题

¥15 stata安慰剂检验作图但是真实值不出现在图上
¥15 c程序不知道为什么得不到结果
¥40 复杂的限制性的商函数处理
¥15 程序不包含适用于入口点的静态Main方法
¥15 素材场景中光线烘焙后灯光失效
¥15 请教一下各位，为什么我这个没有实现模拟点击
¥15 执行 virtuoso 命令后，界面没有，cadence 启动不起来
¥50 comfyui下连接animatediff节点生成视频质量非常差的原因
¥20 有关区间dp的问题求解
¥15 多电路系统共用电源的串扰问题