Asp.net mvc 一次性创建的Web Api令牌正在处理所有请求
我想询问基于Web Api令牌的身份验证。作为一个用户,我正在web api上创建一个令牌。令牌链接是http://mydomain/token 此请求正在返回一个长令牌字符串。我使用此令牌获取安全数据,如下所示: http://mydomain/orders 接受:application/json 内容类型:application/json 授权:持有人lksKaBgTgNT06LAWzHeLHiwMUI6nBHNvE2qen9 此标题信息用于Chrome浏览器上的ajax请求。但同样的标记也适用于另一款浏览器Firefox或IEAsp.net mvc 一次性创建的Web Api令牌正在处理所有请求,asp.net-mvc,security,asp.net-web-api,token,Asp.net Mvc,Security,Asp.net Web Api,Token,我想询问基于Web Api令牌的身份验证。作为一个用户,我正在web api上创建一个令牌。令牌链接是http://mydomain/token 此请求正在返回一个长令牌字符串。我使用此令牌获取安全数据,如下所示: http://mydomain/orders 接受:application/json 内容类型:application/json 授权:持有人lksKaBgTgNT06LAWzHeLHiwMUI6nBHNvE2qen9 此标题信息用于Chrome浏览器上的ajax请求。但同样的标记也
这是安全风险吗?如果有人知道我的令牌,网络可以访问我的数据。我应该用https防止这种情况吗 是的,它正在按它应该的方式工作。对于服务器来说,它来自哪个浏览器并不重要,只要令牌有效,它就会处理请求并发送回响应 要解决此问题,您可以使用以下任一或所有策略: 加密请求和响应https。 使用小令牌生命周期(比如30分钟)并使用刷新令牌重新发出令牌。 将客户端id与令牌一起使用。发出特定于客户端id的令牌。
是的,这是一个安全风险-您肯定应该使用SSL连接来保护它。