18
क्या जीईटी अनुरोध के प्रश्न पैरामीटर के रूप में यूआरएल में एक jwt (json web टोकन) रखना सुरक्षित है?क्या जीईटी अनुरोध के क्वेरी पैरामीटर के रूप में यूआरएल में एक jwt रखना सुरक्षित है?
A
उत्तर
22
यह निम्न परिस्थितियों में सुरक्षित किया जा सकता है:
- जेडब्ल्यूटी केवल
jtiऔरexpदावों टोकन- में मौजूद हैं रिसीवर ठीक से पुनरावृत्ति सुरक्षा लागू करता है एक बार समय उपयोग है
jtiऔरexp
लेकिन यदि यह एक टोकन के रूप में उपयोग किया जाता है जो दोहराया जा सकता है ly का इस्तेमाल किया जाना चाहिए उदा। एक एपीआई के खिलाफ इसे क्वेरी पैरामीटर के रूप में आपूर्ति करना कम पसंद किया जाता है क्योंकि यह लॉग और सिस्टम प्रक्रिया की जानकारी में समाप्त हो सकता है, जो सर्वर या क्लाइंट सिस्टम तक पहुंच वाले अन्य लोगों के लिए उपलब्ध है। उस मामले में इसे हेडर या POST पैरामीटर के हिस्से के रूप में पेश करना बेहतर होगा।
इसके अलावा, क्वेरी पैरामीटर में इसका उपयोग करके आप ब्राउज़र या सर्वर पर यूआरएल आकार सीमाओं में भाग सकते हैं; एक हेडर में इसका उपयोग करके कुछ और जगह प्रदान की जाती है, इसका उपयोग POST पैरामीटर के रूप में करने के लिए सबसे अच्छा काम करेगा।
-2
आपको यूआरएल में कोई गोपनीय जानकारी शामिल नहीं करनी चाहिए। आप jwt को एन्क्रिप्ट कर सकते हैं और जीईटी विधि का उपयोग कर यूआरएल में शामिल कर सकते हैं। हालांकि, याद रखें कि कुछ हैकर्स इसे डीकोड करने में सक्षम हो सकते हैं, यदि इसमें गोपनीय जानकारी हो तो समस्या होगी। इसलिए, यदि यह गोपनीय नहीं है तो आप इसे शामिल कर सकते हैं, अन्यथा POST या सत्र जैसे कुछ अलग-अलग तरीकों का उपयोग करें।
+22
एह ... अनुरोध प्रकार वास्तव में हैकर्स के खिलाफ सुरक्षा के लिए कुछ भी नहीं करता है। वे आपके जीईटी अनुरोध क्यों पढ़ पाएंगे, लेकिन POST अनुरोध नहीं? अगर उन्होंने आपका कनेक्शन टैप किया है, तो यह वही दिखता है। यदि यह एसएसएल/टीएलएस है, तो क्वेरी स्ट्रिंग भी संरक्षित है। – Gray
+2
क्वेरी पैरामीटर ब्राउज़र इतिहास में दिखाई देते हैं। रिमोट प्रतिद्वंद्वियों के लिए दृश्यमान नहीं है, लेकिन फिर भी एक सुरक्षा कमजोरी है। – dnault
+0
जो डेटा की आकस्मिक वर्तनी के लिए प्रासंगिक है, उदा। टोकन को स्क्रैप किया गया और Google द्वारा परोसा गया। फिर भी, सुरक्षा के लिए, टोकन को समय/उपयोग सीमित होना चाहिए। –
संबंधित मुद्दे
- 1. अनुरोध में यूआरएल पैरामीटर कैप्चर करना। जीईटी
- 2. । एचटीएसीएएस रीवाइट्रूल जीईटी यूआरएल पैरामीटर को सुरक्षित रखने के लिए
- 3. क्या यूआरएल में स्लैश के बाद सीधे क्वेरी पैरामीटर रखना सही है?
- 4. क्या विंडो.लोकेशन() जीईटी अनुरोध के समान है?
- 5. PHP का उपयोग कर यूआरएल (जीईटी पैरामीटर के रूप में) में यूआरएल कैसे पास करें?
- 6. HTTPS के साथ, यूआरएल और अनुरोध हेडर सुरक्षित अनुरोध के रूप में सुरक्षित हैं?
- 7. जीडब्ल्यूटी: जीईटी अनुरोध
- 8. क्या जारी रखने के लिए "अंत में" ऑपरेशन के रूप में जारी रखना सुरक्षित है?
- 9. अपाचे mod_rewrite पथ नाम क्वेरी पैरामीटर के रूप में?
- 10. विभिन्न क्वेरी पैरामीटर के साथ दो जीईटी विधियां: REST
- 11. एक्सिस यूआरएल कार्यों में मिलता है लेकिन दूसरे पैरामीटर के साथ ऑब्जेक्ट के रूप में यह
- 12. यूआरएल पैरामीटर और क्वेरी स्ट्रिंग के बीच क्या अंतर है?
- 13. रेल - जीईटी पैरामीटर के बिना वर्तमान यूआरएल प्राप्त करें
- 14. क्या एक जावा अनुरोध एचटीटीपीएस यूआरएल को पूरी तरह सुरक्षित है?
- 15. जीडब्ल्यूटी - जीईटी अनुरोध
- 16. क्या उत्पादन पर Log.i रखना सुरक्षित है?
- 17. जेएसपी, जीईटी और पोस्ट पैरामीटर
- 18. रिवाइटरूल जो जीईटी पैरामीटर को सुरक्षित रखता है
- 19. यूई-राउटर यूआरएल में क्वेरी स्ट्रिंग पैरामीटर?
- 20. एक शब्दकोष के रूप में पाइथन तर्क
- 21. सिम्फनी: अनुरोध पैरामीटर के रूप में ईमेल पता
- 22. जावास्क्रिप्ट: यूआरएल पैरामीटर के रूप में यूआरएल पास करने का अनुशंसित तरीका क्या है?
- 23. क्या मुझे अपने यूआरएल के अंत में .htm रखना चाहिए?
- 24. विभिन्न जीईटी पैरामीटर
- 25. मैं ओकैमल में एक सरल जीईटी अनुरोध कैसे करूं?
- 26. क्या सिंगलटन में धागे का संदर्भ रखना सुरक्षित है?
- 27. क्या मैं यूआरएल में '? कॉलबैक =' पैरामीटर जोड़ने के बिना एक jQuery JSONP अनुरोध कर सकता हूं?
- 28. पावर बीआई: एक एम्बेड अनुरोध में क्वेरी पैरामीटर
- 29. क्वेरी पैरामीटर के साथ एक यूआरएल तक पहुंच सीमित करें
- 30. HTTP जीईटी अनुरोध पैरामीटर से खोज एसक्यूएल जेनरेट करें
इसके अलावा, अन-प्रशिक्षित उपयोगकर्ता टोकन के साथ एक यूआरएल कॉपी और पेस्ट कर सकते हैं, जो मूल रूप से अनजान सत्र-अपहरण का कारण बन सकता है। – Gray
यदि एंडपॉइंट आरईएसटी है तो कई मामलों में आपको जीईटी विधि का उपयोग करना होगा। इसके अलावा, अगर अनुरोध डाउनलोड करना है, तो आप AJAX का भी उपयोग नहीं कर सकते हैं। –
एक उचित लघु 'एक्सपी' <2 मिनट के बारे में क्या। प्लस एक दूसरा रीडायरेक्ट (ऐप द्वारा 'jwt' एकत्र किए जाने के बाद)? कॉपी-एंड-पेस्ट समस्याओं को रोकने के लिए दूसरा रीडायरेक्ट। यदि आपके ब्राउज़र से समझौता किया गया है, तो हेडर भी आपको चोरी से चोरी करने से नहीं बचाएगा। –