Безопасно ли помещать Jwt в запрос на получение https?

Question

Этот вопрос похож на этот вопрос .

Однако в данном случае я имею в виду именно https, а не http.

Если соединение зашифровано с помощью https, я не понимаю, каким образом Jwt может быть скомпрометирован, кроме сообщения http.

Я согласен, что всегда лучше заблокировать Jwt настолько, насколько это возможно, с истечением срока действия, однократным использованием и т. Д., Но в моем случае у меня нет другого выбора, кроме как поместить его в URL, поскольку я не могу использовать сообщение. Но я действительно не вижу преимущества в безопасности поста.

Answer 1

Конечно, HTTP-путь и параметры запроса шифруются при использовании HTTPS. Нет никакого риска, что кто-то перехватит токен в пути.

Проблема с размещением конфиденциальной информации в пути или параметрах запроса заключается в том, что вы рискуете выставить их с помощью кэшей и журналов. В большинстве случаев регистрация на стороне сервера регистрирует весь URL-адрес и, таким образом, регистрирует токен JWT в вашем случае.

Кроме того, в кеше браузера будет находиться токен JWT, который может просочиться другому пользователю с использованием той же учетной записи.