如果一定要改,可以auth.js里的cookie操作改成localStorage,但完全没有必要,服务端是不会对cookie进行鉴权的,只会对加密token进行鉴权。
jwt不保存任何敏感数据,都是id性质的,就算全部暴露出去也不会对系统有任何安全隐患。
按照你的说法,攻击的人都能直接获取到cookie了,那他也能获取到加密的token,既然获取到加密的token了,他就能用加密token直接调用其他接口获取数据,还去管什么未加密无法调用接口的cookie的值呢。所以你主要还是去考虑如何防范加密token被攻击者获取到直接调用接口的问题吧。
加载中...
苏公网安备 32041102000998号