java - jwt　token安全性問題.

問題描述

Ａ,Ｂ系統是前后端分離的。(兩個系統跨域)現在Ａ系統一個頁面跳轉到Ｂ系統中。現在是用的跳轉到Ｂ系統，地址欄中帶了一個加密token (包含用戶id).幫其自動登陸上了。此頁面顯示的商品信息和該用戶的折扣。

此時假如我知道了別人的token，然后修改地址欄。頁面就變成別人的信息了。

此時我都不知道別人的賬號密碼，然后就獲得了別人的一些用戶信息.

問題解答

https加密吧，Http協議本身就不安全，明文的。這幾位說的對，我說錯了

最簡單的辦法，也是比較安全的辦法。在b站幫其登錄的時候，再彈次框。讓其確認密碼！

有個叫csrf的令牌或者。隨機數的辦法。值得你擁有。csrf令牌就是限制這樣的跨域攻擊的

JWT的驗證token是要放到header里的，你可以考慮授權認證

首先token的出現就是為了解決用戶驗證的問題 既然是兩個系統了就應該避免自動登錄的這種情況 這是很不安全的。不過你既然有這樣的需求 那只有盡量側面規避了，給個方案：token中盡量避免敏感信息 ，其次就是在授權跨系統的token時 把這個token的授權設為一次性的 并且壓縮token的有效時間 如此token只辦30分鐘內有效其實你可以參考現在的很多第三方登錄 如微博等 授權的token都只包含昵稱，頭像等少量信息

題主這是真實場景的情況嗎？

如果你能得到別人的 token，相當于竊聽了他的密碼，這不是 JWT 的安全問題。

與 JWT 本身有關的措施，就是加入過期時間，強制 JWT 在一定時間后失效。

根據 JWT 規范，JWT 最好是放在請求頭部 Authorization 中，不要放在 URL 里。

HTTPS 是有用的。