我以斯科特身份登录,只有读取权限。 oauth2服务器(基于JAVA)给了我一个令牌。然后我让我的队友向我发送他未过期的令牌。我更新了我的Angular应用程序并硬编码了给我的令牌。我试图对api进行更改,我能够做出一些改变。
后端api怎么能阻止这个?
答案 0 :(得分:1)
您已成功实施session hijack。发生这种情况是因为会话基于存储在网页中的令牌或cookie而不是IP地址或其他内容。这是有道理的,因为IP地址可能是欺骗性的,而加密安全的会话令牌实际上是不可能欺骗的。
虽然您可以添加策略以使其更加困难(例如:某些硬件令牌涉及加密签名每条消息),您觉得为什么需要?除了最安全的网站之外的所有网站都依赖于这种机制。