Est-il sûr de mettre un jwt dans l'url en tant que paramètre de requête D'une requête GET?

Est-il sûr de mettre un JWT (JSON Web token) dans l'url en tant que paramètre de requête D'une requête GET?

34
demandé sur allen kim 2015-09-22 20:14:57

1 réponses

Il peut être sûr dans les circonstances suivantes:

  1. le JWT est une utilisation ponctuelle seulement
  2. les revendications jti et exp sont présentes dans le jeton
  3. le récepteur implémente correctement la protection de relecture en utilisant jti et exp

Mais dans le cas où il est utilisé comme un jeton qui peut être utilisé à plusieurs reprises, par exemple contre une API, il est moins préférable de le fournir en tant que paramètre de requête car il peut se retrouver dans les journaux et les informations de processus système, disponibles pour d'autres qui avoir accès au système serveur ou client. Dans ce cas, il serait préférable de le présenter dans le cadre d'un en-tête ou d'un paramètre POST.

En outre, en l'utilisant dans les paramètres de requête, vous pouvez exécuter des limitations de taille D'URL sur les navigateurs ou les serveurs; l'utiliser dans un en-tête fournit plus d'espace, l'utiliser comme paramètre POST fonctionnerait mieux.

39
répondu Hans Z. 2015-09-22 19:34:08