这个问题与这个问题类似。
但是,在这种情况下,我特指https,而不是http。
如果连接是用https加密的,我看不出JWT如何比http帖子更受到损害。
我确实同意最好通过过期、一次性使用等尽可能多地锁定 JWT,但就我而言,我别无选择,只能将其放在 url 中,因为我无法使用帖子。但我真的没有看到该帖子的安全优势。
当然,使用 HTTPS 时,HTTP 路径和查询参数是加密的。不存在有人在传输过程中拦截令牌的风险。
将安全敏感信息放在路径或查询参数中的问题在于,存在通过缓存和日志公开它们的风险。大多数服务器端日志记录将记录整个 URL,从而记录 JWT 令牌。
此外,浏览器的缓存将包含 JWT 令牌,该令牌可能会泄露给使用同一帐户的其他用户。
javascript python java c# php android html jquery c++ css ios sql mysql arrays asp.net json python-3.x ruby-on-rails .net sql-server django objective-c excel regex ruby linux ajax iphone xml vba spring asp.net-mvc database wordpress string postgresql wpf windows xcode bash git oracle list vb.net multithreading eclipse algorithm macos powershell visual-studio image forms numpy scala function api selenium