关于 token 的安全问题
来源:5-5 实现授权码认证流程(1)
慕前端5397026
2020-02-25
老师您好,
在token安全上,您将token放在了前端服务器里,然后利用session 机制去获得token,这样诚然会比浏览器直接copy要安全,但是当我们拿了浏览器的cookie 的话,是不是还是可以拿到这个token呢?亦或者,相比拿token与直接拿cookie,我们对cookie的防范措施就容易做的多,这样我们的防范成本就更低一点?
写回答
1回答
-
理论上是的,比如针对通过cookie拿session,还有一些额外的防范手段,比如spring security里防御session固定攻击的机制。总比直接就从浏览器里直接拿到token要相对安全一些。没有绝对的安全,只能是尽可能追求相对的安全。
10
相似问题
关于SSO的登陆页面和退出问题
回答 1
请问我发的网关请求得到401
回答 5
资源服务访问授权服务验证token的问题
回答 1
关于多业务场景授权登陆问题
回答 1
关于完全由token来控制有点不明白
回答 1