80,350
社区成员
发帖
与我相关
我的任务
分享app登录后的token安全性问题
app登录后,服务端返回一个token,app存在客户端,下次再打开app时,直接读token,传token到服务端做验证,免去重新输入用户密码的麻烦,这个token存储在header里,目前看大多数app都是这样做,但如果黑客抓包获取到token,伪造http 请求,对服务器做操作,那岂不是很不安全。。。
各位大师你们是怎么处理的
各位大师你们是怎么处理的
...全文
请发表友善的回复…
发表回复
爱coding的卖油翁 2015-03-04
- 打赏
- 举报
是这样做的吗?
我说下我所在公司做的几个app,都是登录后的个人数据,写在本地,每次打开app,读取数据,有数据,自动登录,没有数据,跳转到登录界面(输入帐号密码的)(用时间戳处理校验,跟回答你上个问题的安全机制一样)
浅笑_JIE 2015-03-04
- 打赏
- 举报
我公司的app同一楼一样
登录时的uid 和 loginkey 是有效期的 过了这个有效期会让你重新登录 登录后本地记录一份 下次打开软件
读取本地的 向服务器发起请求 有效则登录 无效则再次登陆
lkhuge 2015-03-04
- 打赏
- 举报
token机制不是万能的
其实你可以对token加上时间限制和功能限制 以减轻token泄漏所引发的安全问题
fullfree 2015-03-04
- 打赏
- 举报
这方法确实不好啊,不能只依赖于http的header里的东西来认证,太容易模仿。最简单的方法可能就是走https,客户端只要接受服务器端的签名即可。
