token 被盗引发的数据安全问题

要求使用管理员用户密码无法登录为管理员，彻底解决用户帐号密码泄漏问题。

利用前端 bug 类似的机制跳转以骗过等保人员

@sprite82 难搞，你们最后是怎么解决的呢？

用 pc 端吧

@Foxii 他们是在类似 postman 的工具上 copy token 测的

等保的还叫我们关掉 keep-alive ，但我们用的是 HTTP2 。

#12 楼这个兄弟是招行出来的吧，我招行 app 每次都会遇到 Face ID 登录之后点个都叫我重新登录一次

@liuzhen 那个工具它有木有默认的 ua 比如 postman 就有

@liuzhen 没得搞，让项目经理去晓之以情动之以理， 理由：强行修改 html 是没办法控制的，另外虽然加入了不属于 guest 用户的页面，但是用户请求后台也是没用的，有权限控制的。而且，你都同时有 admin 和 guest 的账号了，哪怕 guest 没权限做破坏，admin 也可以继续搞事，无解，这测试方式就不合理

车钥匙被盗引起的汽车被偷问题

有个中间办法类似银行的 APP ，如果你切换网络需要重新登陆，也就是检测 IP 之类的信息，但是如果安全员就在同一个设备上双开浏览器，暂时想不到办法。

等保的让我们改掉 root 用户的用户名，不能叫 root 。

token 过期设置为 0.5 秒前端 0.1 秒刷新一次，比的就是等保人员的手速

没注意已经有人提了这个思路了，想到了如果只是想骗过等保测试，无非是把门槛拉高，比如你每次请求都加一个 CSRF TOKEN ，但是如果测试人员每次都有办法复制所有的请求头，那就是扯淡的事了，HTTP 没来就无状态，无解的事情。

把 token 放 sessionID 里？

@whosesmile 确实只能骗，因为本来就没啥问题

加设备识别

@Foxii 上有政策下有对策，这也是没有办法的办法了

随机 nonce + token + 其他业务参 与 参数校验吧?

如果他是简单的 Charles 抓包替换 替换能防住

如果手里有项目源码,写的代码测试.那就~

对浏览器来说 SessionID 和 Token 唯一区别就是字段名不一样。这测试水平不咋滴，搞不好你改个名字就完事了

如果是前后端分离的，可以在登录时存一个 key 到 localStorage ，每次请求都用它签一个 RequestId 带上，服务端记录 RequestId ，同一 SessionID/Token 在一段时间内使用重复的 RequestId 直接 403 。这样搞，只是复制请求信息就不能成功了