Ist es sicher, ein jwt (json web token) als Abfrageparameter einer GET-Anfrage in die URL einzufügen?
75
Es kann unter folgenden Umständen sicher sein:
jti
und exp
Ansprüche sind im Token vorhandenjti
undexp
Wenn es jedoch als Token verwendet wird, das wiederholt verwendet werden kann, z. B. gegen eine API, ist die Angabe als Abfrageparameter weniger bevorzugt, da es möglicherweise in Protokollen und Systemprozessinformationen landet, die anderen Benutzern mit Zugriff auf den Server oder zur Verfügung stehen Client-System. In diesem Fall ist es besser, es als Teil eines Headers oder eines POST-Parameters darzustellen.
Wenn Sie es in den Abfrageparametern verwenden, können Sie außerdem auf Einschränkungen der URL-Größe in Browsern oder Servern stoßen. Die Verwendung in einem Header bietet mehr Speicherplatz. Die Verwendung als POST-Parameter funktioniert am besten.
exp
<2 min. plus eine zweite Weiterleitung (nachdem diejwt
von der App gesammelt wurde)? Die zweite Umleitung, um Probleme beim Kopieren und Einfügen einfach zu vermeiden. Wenn Ihr Browser kompromittiert ist, bewahrt Sie selbst ein Header nicht vor dem Diebstahl Ihres Tokens.