如果存储在手机本地的 token 被窃取了不就相当于拿到用户的登录权限吗? 比如现在的淘宝拼多多等长期不重新登录都没问题,随便下单
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
This topic created in 1987 days ago, the information mentioned may be changed or developed.
Supplement 1 · Dec 25, 2020
其实下单的意思只是举个例子,不是用户的钱就一定被盗,只是想说拿到 token 不就信息都可以泄露了吗?不能发能查看吧,买到的东西是隐私
Supplement 2 · Dec 25, 2020
其实下单的意思只是举个例子,不是用户的钱就一定被盗,只是想说拿到 token 不就信息都可以泄露了吗?不能发能查看吧,买到的东西是隐私
 |
1
lw10645 Dec 25, 2020  1
那你拿到淘宝拼多多的 token 去下单了吗
|
 |
2
taobibi Dec 25, 2020
现在好多 APP 都强制扫码登陆,本来网页端登录好好的,都要扫码,宣传上宣传扫码“安全”
|
 |
3
westoy Dec 25, 2020
有支付密码啊
|
 |
4
shyangs Dec 25, 2020
我看过比密码的生命周期还长的 token
用户改了密码, 旧 token 还有效. 设计文件中明确写上了这点. |
 |
5
Mitt Dec 25, 2020 via iPhone
下单随便下 你付款还能随便付?
|
 |
6
murmur Dec 25, 2020
所以支付宝宣称丢手机包赔,当然真的因为丢手机被盗刷赔没配咱就不知道了
|
 |
7
polyang Dec 25, 2020
token 泄露了顶多让你看看订单记录,下单是不可能的,会让你输入支付密码的。
|
 |
8
securityCoding Dec 25, 2020 6
token 会定期刷新让你不过期的错觉 ,并不是不过期
|
 |
9
jiezhi Dec 25, 2020
不仅一个 token 吧,好多设备信息和设备相关签名的,你换了设备来请求还是能识别出来的吧
|
 |
10
yinzhili Dec 25, 2020
你能下单有啥用,付款的时候还是要指纹或者面容 id 才行
|
 |
11
BUHeF254Lpd1MH06 Dec 25, 2020
不止一个 token 吧,之前我们做的策略就是有两个 token,refresh token 和 access token,利用 refresh token 去刷新
|
 |
12
ericwood067 Dec 25, 2020
>token 会定期刷新让你不过期的错觉 ,并不是不过期
>不仅一个 token 吧,好多设备信息和设备相关签名的,你换了设备来请求还是能识别出来的吧 这两个合起来基本上就是正确答案了。大部分 App 换了设备会被踢下线的,将你的手机资料全部迁移到一个新手机试试就知道了。 |
 |
13
3dwelcome Dec 25, 2020
自动登录里有设备 ID 的,你拿到 token 也没用,除非你再弄一个一模一样的设备。
|
 |
14
ScepterZ Dec 25, 2020
关于楼上说的设备验证,之前用过一个 app 叫钛备份,好像不是所有 app 都做了的,有些 app 直接恢复就能用(好几年前的事情了,记不清楚了
|
 |
15
keepeye Dec 25, 2020
token 应该会定期刷新的吧
|
 |
17
agagega Dec 25, 2020 via iPad
楼主去用用上海健康码的小程序就知道登录态太短有多恶心人了
|
 |
18
Jaosn Dec 25, 2020
iOS 好多 APP 重新下载都直接跳出 “到 XX 是你的账号吗?”
|
 |
19
alect Dec 25, 2020
见过软件换设备了旧的 cookie 依旧有效
|
 |
22
musi Dec 25, 2020 via iPhone
淘宝这东西有设备指纹的
|
 |
23
boris93 Dec 25, 2020 via Android
长命的不是 token,是 session
在 session 有效期 token 会刷新 你登录会延长 session 有效期 |
|
24
boris93 Dec 25, 2020 via Android
@agagega #17 上海健康码小程序简直十分[友善度]
而且我看着他后面摆了个绿码,前面弹框告诉我要登录,那到底取码要不要登录 |
 |
29
xuanbg Dec 25, 2020
你偷一个 token 来试试看就知道了,反正我司的 token 是绑定用户设备的。你看上去是永久有效,但实际上只是因为你在用,服务端会自动帮你刷新而已。
|
 |
30
akira Dec 25, 2020
都能拿到本地存储的 token 了。。还有啥是拿不到的
|
 |
31
ylsc633 Dec 25, 2020
看来是没改过密码呀
你试试 app 登录之后 然后去网页上把密码改了 再回来打开 app 试试 |
 |
32
wangbenjun5 Dec 25, 2020 1
大家都忽略了一点,那就是 token 只是安全设计的一个环节,正常来说,在涉及交易和金钱的操作的时候都会有其它风控做辅助,比如说用户是不是在常用登录地点、设备 id 有没有变化等等
|
 |
33
bzshow1 Dec 25, 2020 via Android
看到订单信息了,还要怎样,隐私泄露了
|
 |
34
Lemeng Dec 25, 2020
淘宝吗?下单都要支付密码,转账也要
|
 |
35
anguiao Dec 26, 2020
那么怎么窃取呢,应该都是存在 app 私有目录里的吧,不 root 应该是读不到的。请求的时候也有 HTTPS 啊,而且一般还会套一层自己的加密。
|
 |
36
Leigg Dec 27, 2020 via iPhone
思考这个问题的原因:如果你一直不打开 APP,那么你的 token 会很快过期,如果你经常使用 APP,你就很长时间不用再次登录。
|
 |
37
hambers Dec 27, 2020 via iPhone
如果抓包能否拿到请求的 token 呢,抓完包使用报文模拟一样的请求
|
 |
38
vzyw Dec 27, 2020
但是你本地的 token 想要被别人拿是很难的啊。 如果说黑客能拿到你本地的 token,那说明这个环境以及不安全了,什么措施都没用
|
 |
40
Sapp Dec 27, 2020
现在的很多 token 是唯一的,当你换了手机在其他地方登录,再用这个就会出现让你重新登录,其次敏感操作一般需要二次验证甚至还要加上风控,比如你的设备信息你的 ip,第三就是很多时候你感觉你登录很久其实是后台在给你刷新 token,你长时间不使用 token 还是会过期
|
 |
41
philipjf Dec 28, 2020 via iPhone
上面的大人物只关心能不能强迫用户安装 APP,绑定手机号,上传身份证,实时定位,摄像头监控,麦克风监控,同步通讯录,信息记录,童话记录,信用卡号…
哪有功夫管用户账号安不安全,又不是不能用 |
Select Language