我们知道Rest服务是无状态的,进行身份验证的通用策略是使用基于令牌的身份验证。
在登录服务中,它需要返回令牌的凭据。
此令牌可能在客户端cookie中设置,并且所有后续请求都使用此令牌进行验证,如果令牌有效,则处理新请求。
现在我的问题是如何验证令牌?如果有人窃取了令牌并试图通过仅编辑cookie来尝试使用窃取的令牌来访问其他服务,那么如何识别和限制令牌呢?
我们永远不会知道有效用户是否提取了令牌,并且同一用户正尝试访问后续请求。但是有什么可能的方法使其变得更困难,例如验证请求是否来自同一来源?
一个普遍的建议是设置令牌/ cookie的期限,但是直到该令牌/ cookie的期限仍然没有帮助。
我不认为有100%的防呆方法可以防止用户令牌被盗。您甚至怎么知道令牌最初是被盗的?但是从我的头顶上,您可能需要考虑以下事项: