JWT 生成的这个 Token 是不是随便拿到哪台机子都可以过权限认证呢。

来源：10-12 用户登录-2

羁书贵公子

2019-10-17

老师您好，JWT 生成的这个 Token 是不是随便拿到哪台机子都可以过权限认证呢。比如我登录以后，返回给浏览器这个 Token ，他拿到 Token 之后，将这个 Token 换到另一台机子去使用。
如果想要限制这一点，有没有什么比较好的解决方案呢？

写回答

1回答

bobby

2019-10-20

是的，如果想要限制这一点，你可以修改jwt的生成和验证逻辑，但是你要怎么限制这个token呢？怎么识别？难道和ip绑定？要是对方是局域网对外的ip会变动呢？连微博都不会做这种强制性的绑定，除非你的系统不在乎用户体验而在于数据的安全性，否则会让用户体验不好

羁书贵公子

嗯嗯，谢谢老师。

2019-10-20

共1条回复

Tornado从入门到进阶打造支持高并发的技术论坛

异步IO并发编程/Form，ORM/aiomysql、peewee-async/epoll

593 学习 · 350 问题

相似问题

关于jwt

回答 2

回答 1

回答 1

回答 1

回答 1