Reactjs 将用户名和令牌放在“中”是否不安全;https";寻呼路线?
我正在寻找在SPA中处理“更新密码”页面的最佳实践和安全方法。当用户的密码过期时,用户将从“登录”页面获得带有“用户名”和临时令牌的重定向。 到目前为止,我找到了多种选择:Reactjs 将用户名和令牌放在“中”是否不安全;https";寻呼路线?,reactjs,security,routes,token,man-in-the-middle,Reactjs,Security,Routes,Token,Man In The Middle,我正在寻找在SPA中处理“更新密码”页面的最佳实践和安全方法。当用户的密码过期时,用户将从“登录”页面获得带有“用户名”和临时令牌的重定向。 到目前为止,我找到了多种选择: 将用户名和令牌放入查询字符串中,如:/reset password?username=test&token=jfF5$88F… 将用户名和令牌放入URL参数,如:/reset password/:username/:token 其他不处理URL的选项: 处于推送状态。在我的例子中,使用react路由器dom:histo
- 将用户名和令牌放入查询字符串中,如:
/reset password?username=test&token=jfF5$88F…
- 将用户名和令牌放入URL参数,如:
/reset password/:username/:token
- 处于推送状态。在我的例子中,使用react路由器dom:
history.push({state:{username,token}})
- 放入Cookie或本地存储
但我的主要问题是,将这些数据放入URL是否安全?即使在“https”协议中,中间人也能劫持数据吗?您通常不会将秘密放入URL中。原因是,由于调试原因,沿途的每个负载平衡器或代理都可以记录URL。我们不希望仅仅因为日志泄露就泄露我们的秘密 这条规则有一个例外——当秘密是一次性的秘密时。使用后立即失效。这一例外的原因是,没有其他方式可以通过电子邮件等传递机密
如果HTTPS操作正确,那么应该没有人能够劫持数据。URL是HTTP有效负载的一部分,如果您关心这个问题,则会对其进行整体加密。是的,我会在jwt中将用户名与其他URL一起用作有效负载information@Reza没有jwt令牌,因为它不是成功登录。该令牌是临时令牌