小编Mar*_*rio的帖子

在过去的几个月里,我一直在Parse上构建应用程序(ios和web应用程序),并且刚刚发现了他们的会话令牌是如何工作的.这是我到目前为止所学到的:

• 每个用户都有自己的会话令牌
• 令牌用于在向服务器发出请求时替换用户凭据(用于身份验证)
• 令牌永远不会更改(即使重置密码)并且永不过期
• 登录时,令牌将本地存储在客户端
• 用户可以使用Parse.User.become(sessiontoken,options)方法登录,只使用会话令牌

这对我来说似乎很不安全,或者我错过了什么？似乎有人设法获得此令牌,即使用户名和/或密码被更改,他们也可以永久访问用户帐户？

谢谢,

马里奥