关于 token 被盗取的问题

2020-10-22 11:04:06 +08:00

gaorenhua

前后端分离开发的时候，服务端 api 一般都喜欢用 jwt，大家都一直在提 token 被盗取了怎么办？ token 是如何被盗取的呢？可能就是人为的泄露账号密码？可能是被钓鱼，电脑被挂马？网上好多人说用 fidder 抓取之后可以看到 token，我想知道是咋看到的，是你在用户端安装了 fidder 用控制了人家的电脑吗？还有木有别的泄露的可能？求教。

6415 次点击

所在节点

Java

25 条回复

unco020511

2020-10-22 16:30:40 +08:00

https 基本都 ok 了,然后定期刷新 token

liaoliaojun

2020-10-22 16:51:13 +08:00

设置 http only，客户端无法获取到 cookie，就不能从 web 端盗取了

vzyw

2020-10-23 00:09:19 +08:00

jwt 可以注销的后端把 jwt 整个字符串存 redis 里先判断 redis 里也没有这个 jwt string 再验证 jwt 。注销就是删除这个 jwt
@wunonglin

nong99

2020-10-23 07:09:35 +08:00

@redtea 这个方法貌似简单暴力哦～
有两点请教：
1 如何在服务端有效的存储这个随机 token 和检验下次请求呢
2 但是本身也会暴露了传回的这个 csrf token 呢？

redtea

2020-10-23 08:14:22 +08:00

@nong99 这个方案主要是用在 post 上，防止盗 token 的人提交请求。存 redis 就行了。要防暴露的话就用 https 。暴露了也没关系，用一次就没用了。

第 2 页／共 2 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/717368

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.