【问题标题】:JWT as part of the HTTP headerJWT 作为 HTTP 标头的一部分
【发布时间】:2018-10-19 20:59:08
【问题描述】:

为什么将 JWT 作为 HTTP 标头的一部分发送是一种好习惯?许多文章似乎暗示了这一点,但没有解释原因。在 HTTP 正文中嵌入 JWT 是否存在安全风险?如果是,header 怎么比 body 更安全?

【问题讨论】:

  • HTTP 正文经常被任何其他数据使用。在第二个你不能在 GET 请求中发送正文。
  • 它是一个标准的承载和令牌总是在标头中发送,因为其他应用程序在标头中找到令牌而不是在正文中
  • 这里其实也有类似的问题:security.stackexchange.com/questions/130548/…
  • 它并不安全。我认为这只是一种首选方式。使用 cookie 可能适用于浏览器应用程序,但对于服务器到服务器调用它可能有点麻烦。把它放在 url 参数中看起来很难看,而且 url 可能太长了。将其放入请求正文中,但您需要在需要时解析内容。将其作为其他标头可能会被某些代理服务器丢弃,因此使用授权服务器是首选且非常标准的。

标签: javascript node.js http jwt


【解决方案1】:

您需要将此令牌作为标头的一部分发送,因为标头负责请求的授权数据,并且并非所有 HTTP 动词都接受请求中的正文。

【讨论】:

猜你喜欢
  • 2017-07-02
  • 2019-07-26
  • 2023-04-03
  • 2013-12-11
  • 2018-02-21
  • 1970-01-01
  • 2011-07-11
  • 1970-01-01
  • 2020-07-26
相关资源
最近更新 更多