正在回答
2回答
token要过期时间的原因是,这次修改需要保证在一段时间内有效,过期就无效了。
因为token也可以被拦截~~再进一步的做法是使用token修改完之后,把token置成失效。
例如不加token,那么通过修改密码的接口 就可以随便改其他username的密码了。
那么加token,加了有效时间,起码在一段时间内,我保证自己的修改是有效且防止其他无效。
这在互联网上修改密码是一个很常用的做法,例如,忘记密码修改邮件里面给的链接,都会有一个提示,告诉你,这个修改密码的链接在10个小时之内有效,过期请重新获取该链接~
0
有任何疑惑可以回复我~
JL_BringItOn
2017-07-23 20:53:18
这个要结合“忘记密码重置密码”(即forget_reset_password.do)这个接口一起看。
如图:
在这里假如不传token,只要知道任何用户名,就可以将他对应的密码进行修改,所以要加上token
4
有任何疑惑可以回复我~
相似问题
老师,这个token值是存在哪里的啊
1325
3
5
商户上传 token 的接口为什么放在用户子系统里?
1140
3
8
关于登录,为何不用token?
1351
2
11
token令牌生成后调用失败
683
0
11
登录后可查看更多问答,登录/注册
