安全风险:Mock Token 直接写死在代码里 #22
Description
问题描述
登录接口返回的 token 是写死的字符串:
token: 'mock-jwt-token-' + user.id
这要是上线了,攻击者直接就能猜到 token 格式。
影响范围
- 认证形同虚设
- 任何人都能伪造身份
建议方案
生产环境关掉 mock 登录,用真实的 JWT 实现。或者至少把 mock token 改成随机值。
本 Issue 由 Memo Code 生成。
{{ message }}
登录接口返回的 token 是写死的字符串:
token: 'mock-jwt-token-' + user.id
这要是上线了,攻击者直接就能猜到 token 格式。
生产环境关掉 mock 登录,用真实的 JWT 实现。或者至少把 mock token 改成随机值。
本 Issue 由 Memo Code 生成。