此问题与this question类似。
但是,在这种情况下,我指的是https,而不是http。
如果使用https加密连接,我不会看到Jwt如何受到损害而不仅仅是http帖子。
我同意最好尽可能地将Jwt锁定到期,单次使用等,但在我的情况下,我别无选择,只能把它放在网址中,因为我不能使用帖子。但我真的没有看到这个帖子的安全优势。
答案 0 :(得分:1)
当然,使用HTTPS时会对HTTP路径和查询参数进行加密。在传输中没有人拦截令牌的风险。
将安全敏感信息放在路径或查询参数中的问题是您可能会通过缓存和日志暴露它们。大多数服务器端日志记录将记录整个URL,从而在您的案例中记录JWT令牌。
此外,浏览器的缓存将包含JWT令牌,该令牌可能会泄漏给使用同一帐户的其他用户。