使用jwt,token是写到url或者body参数里和写到header有哪些利弊
我们的接口使用了jwt进行鉴权,前端访问的时候需要携带token。token可以写的位置有很多,一是path写到url参数里,还有可以设置header。想知道这两种方式有哪些利弊,选择哪种方式更好?
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(3)
当然写header里,写url里很容易被劫持,有人qq你,把url发给他,直接就发了token过去了,然后他拿到token想干啥干啥。另外url里写参数要url escape,比写header多了一步。
寫在參數裏是防止csrf吧,這時的token應該是每個接口都是不一樣的,比如你請求一個接口的時候在頁面種下一個token,提交的時候驗證token。寫header裏應該是全局就一個的吧,主要做權限驗證這類
想太多了,token 是存在本地缓存中的,你把 url 给别人,别人也不会得到你的 token。