1回答

阿莱克斯刘

2021-10-04

已采纳

以上回复全部都是针对无状态登录的：

1.“用户自身的原因导致token被黑客窃取，只能等待token的过期”。

没错，这是无状态登录无法避免的漏洞。目前无解，除非你把登录系统换成有状态登录。

2.“但是黑客也可以使用当前的token来刷新获取新的token，这样黑客就可以一直使用而不担心过期”

刷新token的规则是你自己后端决定的，你也可以不允许token刷新；或者使用access token来登录同时使用refresh token来刷新token的过期时间。

0

1

慕田峪7329362

非常感谢！

2021-10-04

共1条回复