Dane logowania jako path parameters vs body

0

Hej,

Tworzę logowanie przy użyciu JWT i przy implementacji filtra który rozszerza UsernamePasswordAuthenticationFilter zacząłem się zastanawiać czy dane logowania (username, password) lepiej jest przekazywać w parametrach czy w body? Domyślna implementacja UsernamePasswordAuthenticationFilter z tego co widzę spodziewa się parametrów więc strzału host:port/login?username=x&password=y , ale nie jestem pewien czy to jest ok, czy nie lepiej wysyłać tego w body i wyciągać z HttpServletRequest w tym filtrze?

1

Wg tego co wiem, JWT nie ma NIC do "pierwszego logowania" (autentykacji).
A "drugie" i kolejne to już nie "logowanie" (autentykacja), tylko autoryzacja. JWT tu się może przydać, ale po co hasło?
Więc raczej przedstaw swoją ideę / problem jaśniej

1

Można w nagłówku Authorization (basic authentication: https://swagger.io/docs/speci[...]ication/basic-authentication/ ), można też jako query paramsy (request o token: https://www.oauth.com/oauth2-[...]access-tokens/password-grant/)

0

Ja tylko pragnę zauważyć że akurat ścieżka URL jest publiczna nawet po https (nie jest tak źle, ale już przeglądarka może ci zapisać URLa w historii, razem z hasłem w tym przypadku), wiec absolutnie nie wolno tam umieszczać wrażliwych danych. Tylko w headerach albo body!

1 użytkowników online, w tym zalogowanych: 0, gości: 1, botów: 0