app 长期只需要登录一次不过期这样真的安全吗？

@shyangs 前些年用网抑云就是，旧手机送人了，没有退出网抑云，隔几天就莫名其妙歌单多了一些歌，然后改了密码，居然没用 😂

淘宝这东西有设备指纹的

长命的不是 token，是 session
在 session 有效期 token 会刷新
你登录会延长 session 有效期

@agagega #17 上海健康码小程序简直十分[友善度]
而且我看着他后面摆了个绿码，前面弹框告诉我要登录，那到底取码要不要登录

@ScepterZ 我也用过确实是这样换了手机依然可以

@faqqcn 对呀我就说 token 这东西生命周期也太长了。。。

@boris93 然而有些软件就是不会刷新 token，除非重新登录，计算刷新 token 这里面也有时间差，长的话感觉也不怎么安全

@Jaosn 是呀很明显是保存 token 在本地了

你偷一个 token 来试试看就知道了，反正我司的 token 是绑定用户设备的。你看上去是永久有效，但实际上只是因为你在用，服务端会自动帮你刷新而已。

都能拿到本地存储的 token 了。。还有啥是拿不到的

看来是没改过密码呀

你试试 app 登录之后

然后去网页上把密码改了

再回来打开 app 试试

大家都忽略了一点，那就是 token 只是安全设计的一个环节，正常来说，在涉及交易和金钱的操作的时候都会有其它风控做辅助，比如说用户是不是在常用登录地点、设备 id 有没有变化等等

看到订单信息了，还要怎样，隐私泄露了

淘宝吗？下单都要支付密码，转账也要

那么怎么窃取呢，应该都是存在 app 私有目录里的吧，不 root 应该是读不到的。请求的时候也有 HTTPS 啊，而且一般还会套一层自己的加密。

思考这个问题的原因：如果你一直不打开 APP，那么你的 token 会很快过期，如果你经常使用 APP，你就很长时间不用再次登录。

如果抓包能否拿到请求的 token 呢，抓完包使用报文模拟一样的请求

但是你本地的 token 想要被别人拿是很难的啊。 如果说黑客能拿到你本地的 token，那说明这个环境以及不安全了，什么措施都没用

@hambers https 这些信息只在你手动信任了抓包工具生成的根证书后才能抓到， 别人是抓不到的

现在的很多 token 是唯一的，当你换了手机在其他地方登录，再用这个就会出现让你重新登录，其次敏感操作一般需要二次验证甚至还要加上风控，比如你的设备信息你的 ip，第三就是很多时候你感觉你登录很久其实是后台在给你刷新 token，你长时间不使用 token 还是会过期