给表单加token可以防暴力破解吗？

前提：这里仅对token对防暴力破解的意义进行讨论，不涉及到其他防暴力破解措施，比如验证码等。
看到很多文章都说加token可以防止暴力破解，但并没有说为什么。
据小弟的认识，给表单加token (type=“hidden”)后，这个token不管算法多厉害，但是总归会在前端源码中输出，暴力破解者仍然可以在提交认证前获取它，因此token是不是就失去了防暴力的意义了？
如果可以防止，又是什么逻辑呢？ 麻烦哪位英雄指点一二。谢谢。

回复内容：

前提：这里仅对token对防暴力破解的意义进行讨论，不涉及到其他防暴力破解措施，比如验证码等。
看到很多文章都说加token可以防止暴力破解，但并没有说为什么。
据小弟的认识，给表单加token (type=“hidden”)后，这个token不管算法多厉害，但是总归会在前端源码中输出，暴力破解者仍然可以在提交认证前获取它，因此token是不是就失去了防暴力的意义了？
如果可以防止，又是什么逻辑呢？ 麻烦哪位英雄指点一二。谢谢。

表单token的作用是防止重复提交和CSRF，你的思路没错，破解方只要获取到输出到token值直接提交就可以了。防暴力破解应该理解成防止自动化脚步快速请求以达到破解的目的，所以验证码类防爆破是目前的主流。

没什么用。防账号破解不如考虑一下密码3次错锁定账号15分钟之类的，虽然不去根，但是破解时间极大的延长了。当然如果你一下子锁12小时，一天能尝试6次，一年2200次，估计有生之年没希望了。

没人回答。。5555.

个人觉得，token对CSRF攻击是有效的，因为随机码给攻击者在“伪造请求”时造成了很大的困难。

token一般用于防止重复提交，用于提交后，点击浏览器刷新按钮，或者后退按钮提交，并不能解决暴力破解问题，除非再加上验证码或者速度检测
当然csrf攻击放到也是令牌的一大用处

token抓下来，接着上次的密码再继续请求就可以了　，可以多弄几台机器，每台机器分一个区间，分布式破解

防止重复提交还行,但是弊端也很大的说,就是 防君子不防小人,给正常人增加难度而已.

大兄弟可以去看看yii2.0如何防止csrf攻击的