老师您好,
在token安全上,您将token放在了前端服务器里,然后利用session 机制去获得token,这样诚然会比浏览器直接copy要安全,但是当我们拿了浏览器的cookie 的话,是不是还是可以拿到这个token呢?亦或者,相比拿token与直接拿cookie,我们对cookie的防范措施就容易做的多,这样我们的防范成本就更低一点?
理论上是的,比如针对通过cookie拿session,还有一些额外的防范手段,比如spring security里防御session固定攻击的机制。总比直接就从浏览器里直接拿到token要相对安全一些。没有绝对的安全,只能是尽可能追求相对的安全。
登录后可查看更多问答,登录/注册
