关于内部裸奔token的一点小问题

来源：11-6 微服务认证方案04-“内部裸奔”改进方案

慕标9046666

2019-11-26

老师我想问一下，在这个方案下如果token被别人拿到了，是不是就可以伪造这个用户的请求了？如果只是由微服务加解密得到用户信息的方式来处理token，那么伪造者根本不需要知道token怎么解密，只需要原样发过来是不是就能伪造用户请求了呢？

写回答

1回答

大目

2019-11-27

已采纳

一般不考虑token外泄的问题的。
如果考虑的话，以前session时代简直没法活啊。
session时代，就是让前端传个jsessionid的header，后端到session store里面查一下，如果有，就认为用户已经登录了…
回到您的问题本身，如果前端能拿到你的token，不需要知道解密，原样传到服务器端，服务器端就会认为用户已经登录了。

慕标9046666

谢谢老师。

2019-11-27

共2条回复

Spring Cloud Alibaba微服务从入门到进阶

面向未来微服务:熟练掌握Spring Cloud Alibaba

3085 学习 · 1324 问题

查看课程

相似问题

此处的服务x还有必要解析token吗？认证中心解析完了之后，把对应的用户信息放到本地线程变量中，后续服务可以直接拿到用户信息。这样可以不

回答 1

关于项目的一些疑问