ALes systèmes A et B sont séparés des extrémités avant et arrière.
(Deux systèmesCross-domain)
Maintenant, une page du système A passe au système B.
Maintenant, je l'utilise pour accéder au système B. Il y a un jeton crypté (y compris l'ID utilisateur) dans la barre d'adresse qui l'aide à se connecter automatiquement.
Cette page affiche des informations sur les produits et les réductions pour cet utilisateur.
Supposons que je connaisse le jeton de quelqu'un d'autre à ce moment-là, puis que je modifie la barre d'adresse. La page devient l'information de quelqu'un d'autre.
À cette époque, je ne connaissais même pas les mots de passe des comptes d’autres personnes, puis j’ai obtenu certaines informations utilisateur d’autres personnes.
![[Web front-end] Démarrage rapide de Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
Cryptez https, le protocole HTTP lui-même n'est pas sûr, c'est du texte brut.
Ces gars ont raison, j'ai tort
La méthode la plus simple est aussi une méthode plus sûre. Lorsque la station b l'aide à se connecter, la boîte réapparaîtra. Laissez-le confirmer son mot de passe !
Il existe un jeton appelé csrf ou. méthode des nombres aléatoires. Cela vaut la peine. Le jeton csrf limite de telles attaques inter-domaines
Le jeton de vérification JWT doit être placé dans l'en-tête. Vous pouvez envisager une authentification par autorisation
Tout d'abord, l'émergence du jeton vise à résoudre le problème de la vérification des utilisateurs. Puisqu'il existe deux systèmes, la connexion automatique doit être évitée.
Mais puisque vous avez un tel besoin, vous ne pouvez l'éviter que dans la mesure du possible. Voici une solution : essayez d'éviter les informations sensibles dans le token. Deuxièmement, lors de l'autorisation des tokens inter-systèmes, définissez l'autorisation de ce token sur un. -time et compresse la validité du jeton. Le temps est tel que le jeton n'est valable que 30 minutes. En fait, vous pouvez vous référer au fait que de nombreuses connexions tierces telles que Weibo et autres jetons autorisés ne contiennent qu'un petit. quantité d'informations telles que des surnoms et des avatars.
Est-ce une vraie scène ?
Si vous pouvez obtenir le jeton de quelqu'un d'autre, cela équivaut à écouter son mot de passe. Ce n'est pas un problème de sécurité JWT.
La mesure liée au JWT lui-même est d'ajouter un délai d'expiration pour forcer le JWT à expirer après une certaine période de temps.
Selon la spécification JWT, il est préférable de mettre JWT dans l'en-tête de la requête Autorisation, pas dans l'URL.
HTTPS fonctionne.