JWT返回的token是不会被别人盗用?
来源:9-7 使用 JWT 改造注册和登陆接口,并联调登录注册接口
拖车板牙爵士
2020-10-27
用户提交用户名密码登录之后通过JWT技术返回token,浏览器将token存储在本地【localStorage】,以便以后每次请求使用,可以是浏览器开发者工具中可以看到localStorage存储的token,是不是只要把这里的token给另外一个人,别人就可以模拟登录了?服务器和浏览器保持用户登录的逻辑是怎样的?
写回答
1回答
-
不用token也能模拟登陆,token只是登录验证的其中一部分,做身份认证鉴权,可以预防CSRF攻击;登录验证还涉及其他部分(比如:host验证,用户信息验证等)后面的课程会讲解到。服务器和浏览器保持用户登录的逻辑目前就是用token,token过期后会返回前端用户未登录--》前端会清除缓存中token--》重新登录获取新的token并保存--》请求接口携带token,后端解析token。
022020-10-27
相似问题