关于json+web+token的几个小问题

现在已经实现的token认证方式是用户登录时提交用户名密码,然后服务器根据用户名密码判断登录成功后,生成一个短生命周期的token(里面包含有用户ID),客户端拿到这个token后,每次请求时都带上这个token,服务器验证这个token,如果验证有效就返回数据。
现在想确认3个事情:
1:在验证成功后,是否需要立即更新这个token的生命周期?
2:考虑到黑客既然能窃取到cookie,哪自然也能窃取到token,哪安全性怎么保证?
3:如果要实现客户端自动登录,需要怎么做?是否在生成token的时候也必须把密码也包含进去,哪这样做的话怎样才能保证密码的安全?

OAUTH2.0

我做法用redis来管理这个token的有效期.
自动登录基本同理.有拦截器验证有效性的话.都会给通过的.
至于怎么防止黑客的话..不知道怎么弄..

发表评论

电子邮件地址不会被公开。 必填项已用*标注