友友们,问一下,如果我现在登录一个权限高的账号,然后这个账号的token保存在浏览器的缓存里面,然后我换个浏览器登录一个权限低的账号,然后在浏览器缓存把这个低权限的账号的token换成高权限的token,现在浏览器刷新显示登录的账号是高权限账号了,这样子有问题吗?
一般服务端是通过token来识别你这一次登录用户的,token都换了,服务端自然会把你当成高权限的用户。
该回答引用GPTᴼᴾᴱᴺᴬᴵ
是的,这样做存在越权问题。如果一个用户拥有高权限的账号,那么他可以做一些低权限账号不具备的操作,如果低权限账号的token被替换成了高权限账号的token,那么这个低权限账号也能执行高权限账号的操作,从而越权了。这是一种常见的安全漏洞,需要开发人员注意并采取相应的措施来防范。例如,在生成token时,可以添加过期时间、限制IP等措施,防止被盗用。