Inicio de sesión seguro mediante token para evitar robos

El protocolo http no tiene estado

Dado que el token se transmite en la red, el intermediario puede obtenerlo fácilmente y luego simular que el usuario realiza otras operaciones relacionadas.

Solución:

Cuando el usuario envía información al servidor, primero verifique si los datos de la firma han sido manipulados y luego compárelo con la cadena aleatoria del token. Si es correcto, realice la operación y. actualizar la cadena aleatoria

Incluso si el token fue obtenido por el intermediario, no hay una cadena aleatoria y, peor aún, el intermediario obtiene la cadena aleatoria interceptando el encabezado de respuesta. la clave no se ha filtrado. No hay forma de firmar y aún no se puede realizar

Desventajas:

El navegador no es aplicable, no hay lugar para guardar la clave, usted. solo puedo usar https

https es el truco definitivo, si puedes, ¡úsalo!