steedos-platform icon indicating copy to clipboard operation
steedos-platform copied to clipboard

Published 20 hours ago verified publisher icon steedos

[Bug]: 安全问题X-Acess-Token为jwt格式,含用户信息,存在敏感信息泄露风险

Open hwzero opened this issue 8 months ago • 1 comments

Description

X-Acess-Token 作为用户登录的一个凭证,采用jwt格式没有问题,但是jwt的第二部分base64 解码后可以直接得到用户信息,即使此token已经过期失效,但是仍然可以直接通过通过对此token解码获取到用户的 手机号、邮箱 等完整信息

修复建议: 第二部分不要存放个人信息,只放一个唯一hash值就行了。 或者一定要放,建议加密后再进行jwt 签名打包

Steps To Reproduce 重现步骤

  1. 正常登录
  2. 查看cookies中的X-Acess-Token信息
  3. 使用base64对第二部分内容解码

Version 版本

2.5~2.7

hwzero avatar Jun 21 '24 01:06 hwzero