如何防止token泄露?
1、在存储的时候把 token 进行对称加密存储,用时解开。如果支持仅仅对token进行对称加密得到一个加密的token,这个加密的token泄露以后,我的理解是其他人还是可以使用这个加密的token进行非法请求;2、将请求 URL、时间戳、token 三者进行合并加盐签名,服务端校验有效性。所以最好结合1,2两种方式一起使用,将请求 URL、时间戳、token、 三者进行合并加盐签名,因为盐值是保密的,所以其他人只是得到token的话,无法进行正确的签名,后端验证请求的签名值来判断请求是否有效。
原创
2021-04-21 14:24:17 ·
13323 阅读 ·
11 评论