[解決済み] GETリクエストのクエリパラメータとしてurlにjwtを入れるのは安全ですか？

質問

GETリクエストのクエリパラメータとしてjwt（json web token）をurlに書いても大丈夫でしょうか？

どのように解決するのですか？

以下のような状況であれば大丈夫です。

1. JWTが1回限りの使用である。
2. は jti と exp のクレームがトークンに存在します。
3. 受信者がリプレイプロテクションを適切に実装している場合 jti と exp

しかし、例えば API に対して繰り返し使用できるトークンとして使用する場合、クエリパラメータとして提供することはあまり好ましくありません。なぜなら、ログやシステムプロセス情報に残ってしまい、サーバやクライアントシステムにアクセスできる他の人がそれを利用できる可能性があるからです。そのような場合は、ヘッダーの一部または POST パラメータとして提供する方がよいでしょう。

それに加えて、クエリパラメータでそれを使用すると、ブラウザやサーバーのURLサイズの制限に遭遇することがあります。ヘッダでそれを使用すると、もう少しスペースができますが、POSTパラメータとしてそれを使用すると最もうまくいくでしょう。