基于token验权需求说明
一、shopTNT5.0 起采用基于JWT规范的Token机制进行验权,不再使用Session
二、要做适用于PC/WAP/APP
三、http模式下要尽量增加重放攻击的难度
5.0.0采用nonce+时间戳的方式
测试用例
一、不传递nonce、uid等参数直接访问
预期:无权
二、登陆,拿到token 1、用token进行合法签名并访问
预期:成功 2、用上述合法访问,再次访问 预期:重放攻击(nonce重错)
2、用修改时间戳参数为重放时间
预期:重放攻击(签名出错)
2、用新的nonce访问
预期:重放攻击(nonce出错)