在源中显示api令牌有什么问题吗?(Laravel + Vue.js)
在源中显示api令牌有什么问题吗?(Laravel + Vue.js)
提问于 2020-02-04 13:15:42
我的情况是,我希望在前端(使用axios)执行api请求,api请求需要在请求头中添加api令牌。我想安全地存储api令牌,但是我不知道如何安全地存储api令牌。我只知道下面的路,一切都很好。但是,我担心这样做是否有任何违反安全的情况。
假设我通过重新生成api令牌并将其存储在一个变量中。
在……里面
user-script.blade.php
var vm = new Vue({
el: "#api",
name: "api_token",
data: () => ({
api_token: '{!! \Illuminate\Support\Facades\Auth::check() ? \Illuminate\Support\Facades\Auth::user()->createToken('ApiToken')->accessToken : 'null' !!}',
devices: {}
}),
mounted() {
axios.get('/api/device',
{
headers: {
Authorization: "Bearer "+this.api_token
}
}
)
.then((response) => {
this.devices = response.data;
})
.catch((error) => {
console.log(error);
})
}
})
</script>但是,api_token将显示在devtool源代码中。开发工具源
- 如果我把这个给用户看有安全漏洞吗?
- 如果我将用户的api令牌存储在数据库中,是否存在安全漏洞?
- 或者,在我已经登录之后,如何获得api令牌?
回答 1
Stack Overflow用户
发布于 2020-02-04 14:23:26
在客户端,您不能阻止代码修改。任何用户都可以查看所有JavaScript文件的源代码。
如果您关心安全性,请阅读与web漏洞相关的材料,如XCC、CSRF。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/60058258
复制相关文章
相似问题
腾讯云开发者
