security - jsonwebtoken - jwt java
¿Es seguro poner un jwt en la url como parámetro de consulta de una solicitud GET? (1)
¿Es seguro poner un jwt (token web json) en la url como parámetro de consulta de una solicitud GET?
Puede ser seguro en las siguientes circunstancias:
- el JWT es solo para uso por única vez
-
los
jtiyexpestán presentes en el token -
el receptor implementa adecuadamente la protección de repetición usando
jtiyexp
pero en caso de que se use como un token que se puede usar repetidamente, por ejemplo, contra una API, es menos preferible suministrarlo como un parámetro de consulta, ya que puede terminar en registros e información de proceso del sistema, disponible para otros que tienen acceso al servidor o sistema cliente En ese caso, sería mejor presentarlo como parte de un encabezado o un parámetro POST.
Además de eso, al usarlo en los parámetros de consulta, puede ejecutar limitaciones de tamaño de URL en navegadores o servidores; usarlo en un encabezado proporciona más espacio, usarlo como un parámetro POST funcionaría mejor.