为什么建议授权/身份验证令牌仅作为标头发送

问题描述 投票:0回答:1

我想知道为什么建议将任何身份验证(JWT等)令牌仅作为标头发送,而不作为正文参数发送?

  1. 标头与正文处理它们时是否存在任何性能问题
  2. 是否有任何安全问题
  3. 或者这只是社区遵循的常见做法
authentication http-headers authorization request-headers
1个回答
0
投票

第一个原因只是安全性。在标头中发送令牌有助于防止它们在 URL 或请求正文中暴露,从而降低敏感信息被记录或缓存的风险。

其他原因是-

  1. OAuth 2.0 和 JWT 等标准化使服务器和客户端更容易解释和验证身份验证信息。

  2. 易于处理,因为服务器和客户端代码可以轻松地从标头访问它们。

  3. 避免存储在浏览器历史记录中有助于减少安全漏洞。

  4. 跨源资源共享 (CORS),因为某些浏览器限制在跨源请求中包含敏感信息的能力。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.