我们开发并发布了基于Angular和Laravel的webapp。它完全通过HTTPS运行,并使用护照进行身份验证。
当应用程序收到成功访问令牌后验证时,我们将令牌存储在会话存储中并使用crypro-js对其进行编码。因此,没有机构可以使用令牌并使用其他工具发送更多请求,因为这是编码的。但是当我们发送其他请求时,我们必须解码它并在Bearer标头中以纯文本形式发送。
问题是,在这种情况下,任何人都可以看到令牌并通过邮递员等任何其他工具使用它来获取刷新令牌或者可以使用其他服务。
有没有办法避免这种情况,我们错过了任何安全措施?任何帮助表示赞赏。
答案 0 :(得分:0)
我在(laravel 5.6 + angular 5)中使用相同的方法,我也使用刷新令牌
为了更安全,请定期刷新访问令牌
在我的情况下(角度5)我使用setinterval函数每5分钟刷新一次令牌(18000 ms)
setInterval(MyFuncRefreshToken(), 18000);