給表單加token可以防暴力破解嗎？

前提：這裡僅對token對防暴力破解的意義進行討論，不涉及到其他防暴力破解措施，比如驗證碼等。
看到很多文章都說加token可以防止暴力破解，但並沒有說為什麼。
據小弟的認識，給表單加token (type=“hidden”)後，這個token不管演算法多厲害，但是總歸會在前端源碼中輸出，暴力破解者仍然可以在提交認證前擷取它，因此token是不是就失去了防暴力的意義了？
如果可以防止，又是什麼邏輯呢？ 麻煩哪位英雄指點一二。謝謝。

回複內容：

前提：這裡僅對token對防暴力破解的意義進行討論，不涉及到其他防暴力破解措施，比如驗證碼等。
看到很多文章都說加token可以防止暴力破解，但並沒有說為什麼。
據小弟的認識，給表單加token (type=“hidden”)後，這個token不管演算法多厲害，但是總歸會在前端源碼中輸出，暴力破解者仍然可以在提交認證前擷取它，因此token是不是就失去了防暴力的意義了？
如果可以防止，又是什麼邏輯呢？ 麻煩哪位英雄指點一二。謝謝。

表單token的作用是防止重複提交和CSRF，你的思路沒錯，破解方只要擷取到輸出到token值直接提交就可以了。防暴力破解應該理解成防止自動化腳步快速請求以達到破解的目的，所以驗證碼類防爆破是目前的主流。

沒什麼用。防帳號破解不如考慮一下密碼3次錯鎖定帳號15分鐘之類的，雖然不去根，但是破解時間極大的延長了。當然如果你一下子鎖12小時，一天能嘗試6次，一年2200次，估計有生之年沒希望了。

沒人回答。。5555.

個人覺得，token對CSRF攻擊是有效，因為隨機碼給攻擊者在“偽造請求”時造成了很大的困難。

token一般用於防止重複提交，用於提交後，點擊瀏覽器重新整理按鈕，或者後退按鈕提交，並不能解決暴力破解問題，除非再加上驗證碼或者速度檢測
當然csrf攻擊放到也是令牌的一大用處

token抓下來，接著上次的密碼再繼續請求就可以了　，可以多弄幾台機器，每台機器分一個區間，分布式破解

防止重複提交還行,但是弊端也很大的說,就是 防君子不防小人,給正常人增加難度而已.

大兄弟可以去看看yii2.0如何防止csrf攻擊的

