Как JWT передаётся между запросами?

Question

Чаще всего JWT передаётся в HTTP-заголовке Authorization. Обычно используется схема Bearer. Клиент отправляет токен с каждым запросом к защищённым эндпоинтам. Сервер извлекает токен и проверяет его валидность.

YeaHub · Accepted Answer

JWT — статeless-механизм, поэтому токен должен передаваться в каждом запросе, где нужна авторизация.ОпределениеBearer Token — это способ передачи токена, при котором сам факт владения токеном считается доказательством авторизации.Основные способы передачи JWT1) HTTP-заголовок Authorization (рекомендуется)Формат:Authorization: Bearer <jwt_token>
Универсальный и стандартный подход.Хорошо работает с прокси, логированием и middleware.2) CookieЧасто используется в браузерных приложениях.Может быть HttpOnly и Secure.Нужно учитывать CSRF.3) Query-параметры (не рекомендуется)Токен может попасть в логи.Уязвим для утечек через referrer.Что важно учитыватьStateless-подходСервер не хранит сессии.Вся информация — в токене.Срок жизниJWT обычно короткоживущий.Используются refresh-токены.Безопасность передачиВсегда через HTTPS.ВыводСтандартный и самый безопасный способ передачи JWT — через заголовок Authorization: Bearer, остальные варианты используют только при особых требованиях.