国产av日韩一区二区三区精品,成人性爱视频在线观看,国产,欧美,日韩,一区,www.成色av久久成人,2222eeee成人天堂

https加密吧，Http協(xié)議本身就不安全，明文的。
這幾位說的對，我說錯了

1. 最簡單的辦法，也是比較安全的辦法。在b站幫其登入的時候，再彈次框。讓其確認密碼！

2. 有個叫csrf的令牌或。隨機數的辦法。值得你擁有。 csrf令牌就是限制這樣的跨域攻擊的

3. JWT的驗證token是要放到header裡的，你可以考慮授權認證

首先token的出現(xiàn)就是為了解決使用者驗證的問題 既然是兩個系統(tǒng)了就應該避免自動登入的這種情況 這是很不安全的。
不過你既然有這樣的需求那隻有盡量側面規(guī)避了，給個方案：token中盡量避免敏感信息，其次就是在授權跨系統(tǒng)的token時把這個token的授權設為一次性的並且壓縮token的有效時間如此token只辦30分鐘內有效
其實你可以參考現(xiàn)在的很多第三方登入如微博等授權的token都只包含暱稱，頭像等少量資訊

題主這是真實場景的狀況嗎？

如果你能得到別人的 token，相當於竊聽了他的密碼，這不是 JWT 的安全問題。

與 JWT 本身有關的措施，就是加入過期時間，強制 JWT 在一定時間後失效。

根據 JWT 規(guī)範，JWT 最好是放在請求頭部 Authorization 中，不要放在 URL 裡。

HTTPS 是有用的。