Est-il sûr de mettre un jwt dans l'url en tant que paramètre de requête D'une requête GET?
Est-il sûr de mettre un JWT (JSON Web token) dans l'url en tant que paramètre de requête D'une requête GET?
1 réponses
Il peut être sûr dans les circonstances suivantes:
- le JWT est une utilisation ponctuelle seulement
- les revendications
jti
etexp
sont présentes dans le jeton - le récepteur implémente correctement la protection de relecture en utilisant
jti
etexp
Mais dans le cas où il est utilisé comme un jeton qui peut être utilisé à plusieurs reprises, par exemple contre une API, il est moins préférable de le fournir en tant que paramètre de requête car il peut se retrouver dans les journaux et les informations de processus système, disponibles pour d'autres qui avoir accès au système serveur ou client. Dans ce cas, il serait préférable de le présenter dans le cadre d'un en-tête ou d'un paramètre POST.
En outre, en l'utilisant dans les paramètres de requête, vous pouvez exécuter des limitations de taille D'URL sur les navigateurs ou les serveurs; l'utiliser dans un en-tête fournit plus d'espace, l'utiliser comme paramètre POST fonctionnerait mieux.