将 Jwt 放入 https 获取请求中是不是安全?

Posted

技术标签:

【中文标题】将 Jwt 放入 https 获取请求中是不是安全?【英文标题】:Is it safe to put a Jwt in a https get request?将 Jwt 放入 https 获取请求中是否安全? 【发布时间】:2018-10-16 02:39:57 【问题描述】:

这个问题类似于this question。

但是,在这种情况下,我专门指的是 https,而不是 http。

如果连接是用 https 加密的,我看不出 Jwt 会比 http 帖子如何受到威胁。

我同意始终最好通过过期、单次使用等方式尽可能多地锁定 Jwt,但就我而言,我别无选择,只能将其放在 url 中,因为我无法使用帖子。但我真的没有看到帖子的安全优势。

【问题讨论】:

应该是,是的...***.com/questions/499591/are-https-urls-encrypted 【参考方案1】:

当然,HTTP 路径和查询参数在使用 HTTPS 时是加密的。没有人在传输过程中截获令牌的风险。

将安全敏感信息放在路径或查询参数中的问题在于,您可能会通过缓存和日志暴露它们。大多数服务器端日志记录将记录整个 URL,从而在您的情况下记录 JWT 令牌。

此外,浏览器的缓存中将包含 JWT 令牌,该令牌可能会泄露给使用同一帐户的其他用户。

【讨论】:

以上是关于将 Jwt 放入 https 获取请求中是不是安全?的主要内容,如果未能解决你的问题,请参考以下文章

我应该在哪里保存客户端的 JWT 以供将来请求?

将 JWT 令牌存储在 cookie 中

Shrio使用Jwt达到前后端分离

使用 express 执行 jwt 刷新令牌的正确方法

如何在 api 网关架构中获取 JWT 令牌

JWT 令牌安全漏洞和可能的解决方案请求