【发布时间】:2018-10-19 20:59:08
【问题描述】:
为什么将 JWT 作为 HTTP 标头的一部分发送是一种好习惯?许多文章似乎暗示了这一点,但没有解释原因。在 HTTP 正文中嵌入 JWT 是否存在安全风险?如果是,header 怎么比 body 更安全?
【问题讨论】:
-
HTTP 正文经常被任何其他数据使用。在第二个你不能在 GET 请求中发送正文。
-
它是一个标准的承载和令牌总是在标头中发送,因为其他应用程序在标头中找到令牌而不是在正文中
-
这里其实也有类似的问题:security.stackexchange.com/questions/130548/…
-
它并不安全。我认为这只是一种首选方式。使用 cookie 可能适用于浏览器应用程序,但对于服务器到服务器调用它可能有点麻烦。把它放在 url 参数中看起来很难看,而且 url 可能太长了。将其放入请求正文中,但您需要在需要时解析内容。将其作为其他标头可能会被某些代理服务器丢弃,因此使用授权服务器是首选且非常标准的。
标签: javascript node.js http jwt