67,512
社区成员
发帖
与我相关
我的任务
分享APP后台API, 使用springboot+Shiro+JWT, 接口安全怎么做到?
APP后台API, 使用springboot+Shiro+JWT
因为token在APP是无状态的,所以,为保证安全token设置过期时间来保证安全。
为了确保安全, token设置了10分钟过期。
但是,总觉得还是不安全, 如果token被拿走,还是对服务器有访问的漏洞的。 所以,一般大平台的APP的安全是怎么做的,API这个层面怎么做?
先多谢各位大虾。
因为token在APP是无状态的,所以,为保证安全token设置过期时间来保证安全。
为了确保安全, token设置了10分钟过期。
但是,总觉得还是不安全, 如果token被拿走,还是对服务器有访问的漏洞的。 所以,一般大平台的APP的安全是怎么做的,API这个层面怎么做?
先多谢各位大虾。
...全文
请发表友善的回复…
发表回复
求知者_______ 2020-12-15
- 打赏
- 举报
token是放在请求头里的,你这链接请求本身就存在问题
执笔记忆的空白 2018-07-24
- 打赏
- 举报
别想太多了,我都说了如果你token都能被盗用,那么就考虑加密吧。参数加密, 或者固定方法签名!
stacksoverflow 2018-07-24
- 打赏
- 举报
完全同意1楼的解答。
楼主想的太多了。
一般来说,只要是我们认证过的终端我们就认为它合法,不管操作这个终端的是谁。
如果涉及到银行转帐之类的,我们不仅要保证和我们认证的终端通信,还要考虑操作这个终端的人,那就需要再加一层对操作人的识别的防护。
比如密码卡,U盾,电子签名等,需要拿在操作人手上的东东。
再深一层,我们不仅要考虑认证的终端,操作终端的人,还要保证人必须是活着的,可以再加上指纹认证,人脸识别等。
再高一点的话,那就只能面对面了。。。
楼主想的太多了。
一般来说,只要是我们认证过的终端我们就认为它合法,不管操作这个终端的是谁。
如果涉及到银行转帐之类的,我们不仅要保证和我们认证的终端通信,还要考虑操作这个终端的人,那就需要再加一层对操作人的识别的防护。
比如密码卡,U盾,电子签名等,需要拿在操作人手上的东东。
再深一层,我们不仅要考虑认证的终端,操作终端的人,还要保证人必须是活着的,可以再加上指纹认证,人脸识别等。
再高一点的话,那就只能面对面了。。。
maradona1984 2018-07-24
- 打赏
- 举报
[/quote]
已经说的很清楚了...你token被人知道了防不住,就好比你把密码告诉别人,服务端怎么去防?你只要防住中间人攻击即可,https什么的最简单轻松了,申请个证书也就分分钟的事
kingmax54212008 2018-07-24
- 打赏
- 举报
首先感谢各位大虾的回答:
如果是盗链接了, 比如现在的链接是 http:// www.mydomain.com/token=103702738237
利用token验证的链接,A用户的链接直接B用户,直接盗用了。
这样也会不安全,直接B用户都有用户的权限了。 特别是现在前后端分离,前端是无状态的。
一直有些困惑,恳求布道解惑
-------------------------------------------------------
如果是盗链接了, 比如现在的链接是 http:// www.mydomain.com/token=103702738237
利用token验证的链接,A用户的链接直接B用户,直接盗用了。
这样也会不安全,直接B用户都有用户的权限了。 特别是现在前后端分离,前端是无状态的。
一直有些困惑,恳求布道解惑
-------------------------------------------------------
执笔记忆的空白 2018-07-23
- 打赏
- 举报
不会的,在使用证书之后,如果token还被拿走,那你只能考虑参数加密或者方法签名了
流烟默 2018-07-23
- 打赏
- 举报
HTTPS+参数加密啊
maradona1984 2018-07-23
- 打赏
- 举报
token被拿走?客户端被黑,你怎么玩都没用,这个无需考虑
防中间人就用https,或者自己搞个对称加密即可,RSA什么都可以的
防中间人就用https,或者自己搞个对称加密即可,RSA什么都可以的
