¿Cómo evita la aplicación el robo de tokens?

El token es un recibo, pero es mucho más suave que un boleto. Si pierde el boleto, debe gastar dinero para comprarlo nuevamente. Si pierde el token, puede autentificarlo nuevamente. por lo que el costo de perder el token es tolerable: la premisa es que no se pierde con demasiada frecuencia. Si se les pide a los usuarios que se autentiquen de vez en cuando, se perderá la experiencia del usuario. \x0d\\x0d\En el lado del cliente, a menos que tenga un método muy seguro, como el almacenamiento de datos privados proporcionado por el sistema operativo, el token definitivamente se filtrará. Por ejemplo, si obtengo tu teléfono móvil y copio tu token, puedo iniciar sesión como tú en otro lugar antes de que caduque. \x0d\Una forma sencilla de resolver este problema\x0d\1. Al almacenar, cifre simétricamente el token y guárdelo, y luego descifrelo cuando lo use. \x0d\2. Combine la URL de solicitud, la marca de tiempo y el token y agregue una firma salt y el servidor verificará la validez. \x0d\El punto de partida de ambos métodos es: es más fácil robar los datos almacenados, pero es más difícil desensamblar su programa y piratear sus algoritmos de cifrado, descifrado y firma. Sin embargo, en realidad no es difícil decir que es difícil, así que después de todo, es para protegerse de los caballeros y no de los villanos. Hablando de almacenamiento cifrado, si alguien abre el cliente y lo lee, ¿no se distribuirá ni se almacenará en texto sin formato?\x0d\El método 1 no podrá descifrar el texto cifrado almacenado y el método 2 no conocerá su algoritmo de firma. y sal. Se pueden comer juntos. \x0d\Pero si se copia el token, naturalmente puede implantarlo en su propio teléfono móvil. Entonces su teléfono móvil también podrá usarse como su identidad y quedará ciego. \x0d\ Por lo tanto, se puede proporcionar un mecanismo similar que permita a los usuarios caducar activamente un token anterior y pueda detener de forma remota las pérdidas en caso de robo. \x0d\¿Cómo puede una persona hablar de seguridad si ni siquiera puede proteger su propio teléfono móvil?\x0d\\x0d\Sería muy peligroso transmitir el token en texto plano a nivel de red, por lo que se recomienda use HTTPS y coloque el token en el cuerpo de la publicación dentro.