c#用户Id存储在浏览器中的安全问题
本文关键字:安全 问题 浏览器 用户 Id 存储 | 更新日期: 2023-09-27 17:59:01
我有一个wcf-Api,它为我的网站用户提供数据(Angular构建)。每次用户连接到我的网站时,我都会向客户端返回一个令牌(JWT加密的用户Id),该令牌由客户端存储在本地存储中,并由客户端发送到服务器,以便服务器知道用户是谁。问题是,这感觉像是一次安全漏洞。其他用户可以复制令牌并在其浏览器上实现,从而可以模拟其他用户。我做错了什么?请问我应该做什么不同的事情?
您所说的是会话劫持。
有多种解决方案可以防止这种情况,但我不认为任何解决方案100%有效,但请查看此链接以了解更多信息:防止会话劫持的最佳方法是什么?