【发布时间】:2018-10-16 02:39:57
【问题描述】:
这个问题类似于this question。
但是,在这种情况下,我专门指的是 https,而不是 http。
如果连接是用 https 加密的,我看不出 Jwt 会比 http 帖子如何受到威胁。
我同意始终最好通过过期、单次使用等方式尽可能多地锁定 Jwt,但就我而言,我别无选择,只能将其放在 url 中,因为我无法使用帖子。但我真的没有看到帖子的安全优势。
【问题讨论】:
【发布时间】:2018-10-16 02:39:57
【问题描述】:
当然,HTTP 路径和查询参数在使用 HTTPS 时是加密的。没有人在传输过程中截获令牌的风险。
将安全敏感信息放在路径或查询参数中的问题在于,您可能会通过缓存和日志暴露它们。大多数服务器端日志记录将记录整个 URL,从而在您的情况下记录 JWT 令牌。
此外,浏览器的缓存中将包含 JWT 令牌,该令牌可能会泄露给使用同一帐户的其他用户。
【讨论】: