将 Jwt 放入 https 获取请求中是不是安全?
Posted
技术标签:
【中文标题】将 Jwt 放入 https 获取请求中是不是安全?【英文标题】:Is it safe to put a Jwt in a https get request?将 Jwt 放入 https 获取请求中是否安全? 【发布时间】:2018-10-16 02:39:57 【问题描述】:这个问题类似于this question。
但是,在这种情况下,我专门指的是 https,而不是 http。
如果连接是用 https 加密的,我看不出 Jwt 会比 http 帖子如何受到威胁。
我同意始终最好通过过期、单次使用等方式尽可能多地锁定 Jwt,但就我而言,我别无选择,只能将其放在 url 中,因为我无法使用帖子。但我真的没有看到帖子的安全优势。
【问题讨论】:
应该是,是的...***.com/questions/499591/are-https-urls-encrypted 【参考方案1】:当然,HTTP 路径和查询参数在使用 HTTPS 时是加密的。没有人在传输过程中截获令牌的风险。
将安全敏感信息放在路径或查询参数中的问题在于,您可能会通过缓存和日志暴露它们。大多数服务器端日志记录将记录整个 URL,从而在您的情况下记录 JWT 令牌。
此外,浏览器的缓存中将包含 JWT 令牌,该令牌可能会泄露给使用同一帐户的其他用户。
【讨论】:
以上是关于将 Jwt 放入 https 获取请求中是不是安全?的主要内容,如果未能解决你的问题,请参考以下文章