Est-il sûr de mettre un jwt dans l'url de la requête en tant que paramètre d'une requête GET?
Est-il sûr de mettre un jwt (json web jeton) dans l'url de la requête en tant que paramètre d'une requête GET?
Vous devez vous connecter pour publier un commentaire.
Il peut être en sécurité dans les circonstances suivantes:
jti
etexp
revendications sont présents dans le jetonjti
etexp
mais dans le cas où il est utilisé comme un jeton qui peut être utilisé à plusieurs reprises par ex. contre une API fournissant alors comme un paramètre de requête est moins préférés car il peut finir dans les journaux et les processus du système d'information, à la disposition d'autres personnes qui ont accès au serveur ou au client du système. Dans ce cas, serait mieux de le présenter comme partie d'un en-tête ou un paramètre POST.
En outre que, en l'utilisant dans les paramètres de la requête vous pouvez exécuter dans l'URL limites de taille des navigateurs ou des serveurs; son utilisation dans un en-tête fournit plus d'espace pour l'utiliser comme un paramètre POST serait le mieux.
exp
< 2 min. en plus d'une seconde de redirection (après lajwt
ont été recueillies par l'application)? La deuxième redirection pour simplement éviter de copier-coller des problèmes. Si votre navigateur est compromis, même un en-tête ne vous sauvera pas de vous jeton d'être volé.