Est-il sûr de mettre un jwt dans l'url de la requête en tant que paramètre d'une requête GET?

Est-il sûr de mettre un jwt (json web jeton) dans l'url de la requête en tant que paramètre d'une requête GET?

InformationsquelleAutor allen kim | 2015-09-22
  1. 61

    Il peut être en sécurité dans les circonstances suivantes:

    1. le JWT est un temps d'utilisation seulement
    2. la jti et exp revendications sont présents dans le jeton
    3. le récepteur correctement met en œuvre la protection contre le rejeu à l'aide de jti et exp

    mais dans le cas où il est utilisé comme un jeton qui peut être utilisé à plusieurs reprises par ex. contre une API fournissant alors comme un paramètre de requête est moins préférés car il peut finir dans les journaux et les processus du système d'information, à la disposition d'autres personnes qui ont accès au serveur ou au client du système. Dans ce cas, serait mieux de le présenter comme partie d'un en-tête ou un paramètre POST.

    En outre que, en l'utilisant dans les paramètres de la requête vous pouvez exécuter dans l'URL limites de taille des navigateurs ou des serveurs; son utilisation dans un en-tête fournit plus d'espace pour l'utiliser comme un paramètre POST serait le mieux.

    • Aussi, non-formé les utilisateurs peuvent copier et coller une URL avec le jeton, ce qui pourrait conduire à de coeur involontaire de la session hijacking.
    • Si le point de terminaison est RESTE il y a de nombreux cas, vous devez utiliser la méthode GET. En outre, si la demande est à télécharger, vous ne pouvez même pas utiliser ajax.
    • Qu'en est raisonnablement courts exp < 2 min. en plus d'une seconde de redirection (après la jwt ont été recueillies par l'application)? La deuxième redirection pour simplement éviter de copier-coller des problèmes. Si votre navigateur est compromis, même un en-tête ne vous sauvera pas de vous jeton d'être volé.
    • Pourquoi faut-il le jeton de 1 heure seulement?
    • Parce qu'étant un paramètre de requête le jeton peut se retrouver dans les logs du serveur, le navigateur de journaux ou referer en-têtes et quelqu'un pourrait le saisir à partir de là et essayer de le ré-utiliser.
    InformationsquelleAutor Hans Z.