别人拿着已经验证过的 token 恶意请求不是很危险？这个问题 JWT 怎么解决？

问答 / 3113 / 5 / 创建于 5年前

别人拿着已经验证过的token恶意请求不是很危险？JWT是怎么防止这类问题的？

api laravel

课程读者 9 声望

沉迷学习无法自拔

《L05 电商实战》

从零开发一个电商项目，功能包括电商后台、商品 & SKU 管理、购物车、订单管理、支付宝支付、微信支付、订单退款流程、优惠券等

《L02 从零构建论坛系统》

以构建论坛项目 LaraBBS 为线索，展开对 Laravel 框架的全面学习。应用程序架构思路贴近 Laravel 框架的设计哲学。

推荐文章：

更多推荐...

Laravel 11 中文文档仓库，已翻译完成！！！ 16 / 27 |

Laravel验证器最完整用法实例 31 / 14 |

PHP Annotated——2023 年 12 月 25 / 2 |

使用 Laravel 10 & Vue 3 开发了一个社区站，一起来玩下～ 17 / 39 |

历时一个月，《穿透Laravel》全书完成！ 88 / 25 |

[开源项目] 基于 laravel 开发的一个社区/社交小程序 23 / 47 |

liyu001989

管理员 1.0k 声望 / 技术负责人 @ 重庆豆豌科技有限公司

最佳答案

任何一种 Token 认证技术都一样，跟是不是用 jwt 没关系。你的想想清楚别人怎么能获取到 Token。

使用 HTTPS?
有过期时间，过期不可用
增加机制，可注销某个 Token

5年前评论

讨论数量: 5

liyu001989

管理员 1.0k 声望 / 技术负责人 @ 重庆豆豌科技有限公司

任何一种 Token 认证技术都一样，跟是不是用 jwt 没关系。你的想想清楚别人怎么能获取到 Token。

使用 HTTPS?
有过期时间，过期不可用
增加机制，可注销某个 Token

5年前评论

zzb75110

课程读者 9 声望

@liyu001989 多谢大佬这么晚还来解答。还有把user_id等信息暴露在路由里总感觉不好，有没有更好的方式？

5年前评论

liyu001989

管理员 1.0k 声望 / 技术负责人 @ 重庆豆豌科技有限公司

hashid https://learnku.com/courses/laravel-packag...

或者你自己加密做转换

5年前评论

jake666

Laravel 8.x 译者 92 声望 / 搬砖 @ 小公司

@liyu001989
增加机制，可注销某个 Token 请求一下这个有成熟的解决方案吗？
因为有踢出用户的需求，立即踢出，jwt必须等到过期之后才会失效

5年前评论

liyu001989

管理员 1.0k 声望 / 技术负责人 @ 重庆豆豌科技有限公司

@jake_zou 黑名单
博客：JWT-Auth 黑名单功能

5年前评论

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容，与人为善，比聪明更重要！

帮助