我想知道为什么建议将任何身份验证(JWT等)令牌仅作为标头发送,而不作为正文参数发送?
第一个原因只是安全性。在标头中发送令牌有助于防止它们在 URL 或请求正文中暴露,从而降低敏感信息被记录或缓存的风险。
其他原因是-
OAuth 2.0 和 JWT 等标准化使服务器和客户端更容易解释和验证身份验证信息。
易于处理,因为服务器和客户端代码可以轻松地从标头访问它们。
避免存储在浏览器历史记录中有助于减少安全漏洞。
跨源资源共享 (CORS),因为某些浏览器限制在跨源请求中包含敏感信息的能力。