0
我有一个wcf Api为我的网站的用户提供数据(Angular build)。 每次用户连接到我的网站时,我都会返回带有令牌(JWT加密用户ID)的客户端,该令牌由客户端存储在本地存储中,并由客户端发送到服务器以便服务器知道谁用户是。 问题在于它感觉像是安全漏洞。其他用户可以复制该令牌并在他的浏览器上执行该令牌,以便让他冒充其他用户。 我在做什么错?我应该做什么不同?用户ID存储在浏览器中的c#安全问题
我有一个wcf Api为我的网站的用户提供数据(Angular build)。 每次用户连接到我的网站时,我都会返回带有令牌(JWT加密用户ID)的客户端,该令牌由客户端存储在本地存储中,并由客户端发送到服务器以便服务器知道谁用户是。 问题在于它感觉像是安全漏洞。其他用户可以复制该令牌并在他的浏览器上执行该令牌,以便让他冒充其他用户。 我在做什么错?我应该做什么不同?用户ID存储在浏览器中的c#安全问题
你在说什么叫做Session Hijacking。
有多种解决方案,以防止这一点,但我不认为任何解决方案的工作100%,但是看到这个链接的详细信息:What is the best way to prevent session hijacking?