将 Jwt 放入 https 获取请求中是不是安全？

Posted 2023-03-10

【中文标题】将 Jwt 放入 https 获取请求中是不是安全？

【英文标题】：Is it safe to put a Jwt in a https get request?将 Jwt 放入 https 获取请求中是否安全？

【发布时间】：2018-10-16 02:39:57

【问题描述】：

这个问题类似于this question。

但是，在这种情况下，我专门指的是 https，而不是 http。

如果连接是用 https 加密的，我看不出 Jwt 会比 http 帖子如何受到威胁。

我同意始终最好通过过期、单次使用等方式尽可能多地锁定 Jwt，但就我而言，我别无选择，只能将其放在 url 中，因为我无法使用帖子。但我真的没有看到帖子的安全优势。

【问题讨论】：

应该是，是的...***.com/questions/499591/are-https-urls-encrypted

【参考方案1】：

当然，HTTP 路径和查询参数在使用 HTTPS 时是加密的。没有人在传输过程中截获令牌的风险。

将安全敏感信息放在路径或查询参数中的问题在于，您可能会通过缓存和日志暴露它们。大多数服务器端日志记录将记录整个 URL，从而在您的情况下记录 JWT 令牌。

此外，浏览器的缓存中将包含 JWT 令牌，该令牌可能会泄露给使用同一帐户的其他用户。