vue登录功能安全性如何设计?
用vue设计登录功能,比如采取jwt认证,假如我输入用户名和密码,后端对用户名和密码进行验证,验证成功返回一个token,前端把token保存到本地,vue判断token是否存在,若存在则进入到首页。但是这个是不是能绕过?比如我输入错误的用户名和密码,后端验证后不通过,返回一个登陆失败的数据包,这个时候拦截这个数据包,把数据包修改为和登录成功一样的格式,然后随便建立一个token,这个时候是不是能绕过登录功能?
回答:
可以绕过登录,不过进入主界面后你的页面数据请求也是需要携带token才能从服务端获取的,这时候服务端校验token是伪造的,就不会返回数据给你,所以只是绕过登录,并不能拿到数据。别人也仅仅是能看到一些界面的UI而已。
回答:
并不能,你的假设不存在。
伪造的问题,那么其他接口也伪造嘛?即使伪造了,你并不是你系统的执行结果。所以不用担心
回答:
这个时候拦截这个数据包,把数据包修改为和登录成功一样的格式
这句话的关键在“和登录成功一样的格式”。如果你确实能伪造出来,当然是可以绕过登录的 —— 至少在这一步是可以成功的。
但问题是,“伪造”本身是一件比较困难的事情,因为 JWT 的第三部分签名需要密钥,如果你不知道密钥你就不能正确地签名,不能正确签名后端必然验证不过,伪造不能成功。
所以假设不成立,你所担心的事情(或者是想干的事情)是干不了的。
以上是 vue登录功能安全性如何设计? 的全部内容, 来源链接: utcz.com/p/936994.html
