Можно ли помещать jwt (токен json web) в url в качестве параметра запроса запроса GET?
Можно ли положить jwt в url в качестве параметра запроса для запроса GET?
Ответ 1
Это может быть безопасно при следующих обстоятельствах:
- JWT используется только один раз
- претензии
jtiиexpприсутствуют в токене - получатель правильно реализует защиту воспроизведения с использованием
jtiиexp
но в случае, если он используется в качестве токена, который может многократно использоваться, например, в отношении API, то предоставление его в качестве параметра запроса менее предпочтительно, так как он может оказаться в журналах и информации о системных процессах, доступных для других, имеющих доступ к серверу или клиентская система. В этом случае было бы лучше представить его как часть заголовка или параметра POST.
Кроме того, используя его в параметрах запроса, вы можете использовать ограничения размера URL в браузерах или на серверах; использование его в заголовке обеспечивает больше места, лучше всего использовать его в качестве параметра POST.
Ответ 2
Вы не должны включать в URL какую-либо конфиденциальную информацию. Вы можете зашифровать jwt и включить его в URL с помощью метода GET. Однако помните, что некоторые хакеры могут его декодировать, что будет проблемой, если оно содержит конфиденциальную информацию. Таким образом, если он не является конфиденциальным, вы можете его включить, в противном случае используйте другой метод, например POST или сеанс.