将 jwt(json 网络 token )作为 GET 请求的查询参数放入 url 是否安全?
最佳答案
在以下情况下是安全的:
- JWT 仅供一次性使用
- token 中存在
jti
和exp
声明 - 接收方使用
jti
和exp
正确实现重放保护
但如果它被用作可以重复使用的 token ,例如针对 API 然后将其作为查询参数提供是不太受欢迎的,因为它可能最终出现在日志和系统进程信息中,可供其他有权访问服务器或客户端系统的人使用。在这种情况下,最好将其作为 header 或 POST 参数的一部分呈现。
除此之外,通过在查询参数中使用它,您可能会遇到浏览器或服务器上的 URL 大小限制;在 header 中使用它可以提供更多空间,将它用作 POST 参数效果最好。
关于security - 将 jwt 作为 GET 请求的查询参数放入 url 是否安全?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/32722952/