一、该问题的重现步骤是什么?
1. 我们有第三方的请求过来想做一个不失效的token,登陆一次永久有效,想着在AuthFilter里面去续期token需要怎么做?
这样安全性非常差,只要token泄露,谁都可以拿来进行操作系统,是否可以尝试和客户沟通,把token时间调长一点? 调整长度的话,直接在应用管理配置过期时间就行了。
如果一定要登录一次永久有效,也要可以人为干预,比如人工创建token,创建的时候设置token不过期,并把它保存在数据库里,每次请求带来token。authfilter都通过http调用,去查询库或者redis是否这个token为永久,如果永久再放行。如果取消永久就可以直接返回未授权,这样可控。
否则不加这一个设定,系统就危险了。
扫一扫访问 Blade技术社区 移动端
加载中...
苏公网安备 32041102000998号