H5W3
当前位置:H5W3 > 问答 > 正文

第三方登录token不怕被别人拿走冒充登录吗?

比如登录的时候浏览器开发者工具看到登录成功换取的token,有这个token了,如果别人知道了,不就可以拿着这个token冒充我去做登录后的其他任何操作吗?即使有效期2小时,2小时内不是也能做很多操作吗?这种安全如何保障呢?

这个是要算成本的
获取token有成本
token在对应站点怎么使用
有哪些接口可供我调用
要在过期时间内使用
还有最后兜底的 敏感操作要走二次确认
以上成本保证了安全性

用开发都工具能看到token就说明别人很容易拿到么,用开发者工具也能看到cookie不是?
正常走https一般没什么问题,但你网站有xss漏洞就另说了

回答

本文地址:H5W3 » 第三方登录token不怕被别人拿走冒充登录吗?

评论 0

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址