极客观点
项目管理
HarmonyOS
这篇文章
介绍的方法:
- 第一步:后端随机产生一个token,基于这个token通过SHA-56等散列算法生成一个密文;
- 第二步:后端将这个token和生成的密文都设置为cookie,返回给前端;
- 第三步:前端需要发起请求的时候,从cookie中获取token,把这个token加入到请求数据或者头信息中,一起传给后端;
- 第四步:后端校验cookie中的密文,以及前端请求带过来的token,进行正向散列验证;
第二步后端是如何把token给前端的
如果是一个请求的话 那网站在发送这个获取token的请求后,黑客一样可以看到cookie,然后伪造给下一个请求,起不到防御的作用。
请问第二步是怎么做的?
前后分离架构,一般token都是 service端生成,redirect回前端的时候带在url的参数里的。理论上黑客侵入了浏览器当前域名下执行的js是可以获取到token的。比如tamperMonkey这类插件执行的脚本