ASistem A dan B diasingkan dari bahagian depan dan belakang.
(Dua sistemCross-domain)
Kini halaman dalam sistem A melompat ke sistem B.
Sekarang saya menggunakannya untuk melompat ke sistem B. Terdapat token yang disulitkan (termasuk ID pengguna) dalam bar alamat Ia membantunya untuk log masuk secara automatik.
Halaman ini memaparkan maklumat produk dan diskaun untuk pengguna ini.
Andaikan saya tahu token orang lain pada masa ini, dan kemudian mengubah suai bar alamat. Halaman tersebut menjadi maklumat orang lain.
Pada masa ini, saya tidak tahu pun kata laluan akaun orang lain, dan kemudian saya mendapat beberapa maklumat pengguna orang lain.
Sulitkan https, protokol HTTP itu sendiri tidak selamat, ia adalah teks biasa.
Mereka ini betul, saya salah
Kaedah yang paling mudah juga merupakan kaedah yang lebih selamat. Apabila stesen b membantunya log masuk, kotak itu akan muncul semula. Biarkan dia mengesahkan kata laluannya!
Ada token yang dipanggil csrf atau. kaedah nombor rawak. Memang berbaloi untuk dimiliki. Token csrf mengehadkan serangan merentas domain sedemikian
Token pengesahan JWT mesti diletakkan dalam pengepala Anda boleh mempertimbangkan pengesahan kebenaran
Pertama sekali, kemunculan token adalah untuk menyelesaikan masalah pengesahan pengguna Memandangkan terdapat dua sistem, log masuk automatik harus dielakkan.
Tetapi memandangkan anda mempunyai keperluan sedemikian, anda hanya boleh mengelakkannya seboleh-bolehnya Berikut adalah penyelesaian: cuba elakkan maklumat sensitif dalam token Kedua, apabila membenarkan token silang sistem, tetapkan kebenaran token ini -masa dan memampatkan kesahihan token masa sedemikian sehingga token hanya sah selama 30 minit Malah, anda boleh merujuk kepada fakta bahawa banyak log masuk pihak ketiga seperti Weibo dan token dibenarkan yang lain hanya mengandungi kecil. jumlah maklumat seperti nama panggilan dan avatar.
Adakah ini adegan sebenar?
Jika anda boleh mendapatkan token orang lain, ia adalah sama dengan mencuri dengar kata laluannya. Ini bukan isu keselamatan JWT.
Langkah berkaitan JWT itu sendiri ialah menambah masa tamat tempoh untuk memaksa JWT tamat tempoh selepas tempoh masa tertentu.
Mengikut spesifikasi JWT, sebaiknya letakkan JWT dalam Pengepala permintaan Kebenaran, bukan dalam URL.
HTTPS berfungsi.