Этот вопрос проверяет знание стандартных способов передачи JWT и связанных с этим практик безопасности.
Чаще всего JWT передаётся в HTTP-заголовке Authorization. Обычно используется схема Bearer. Клиент отправляет токен с каждым запросом к защищённым эндпоинтам. Сервер извлекает токен и проверяет его валидность.
JWT — статeless-механизм, поэтому токен должен передаваться в каждом запросе, где нужна авторизация.
Bearer Token — это способ передачи токена, при котором сам факт владения токеном считается доказательством авторизации.
Формат:
Authorization: Bearer <jwt_token>
Универсальный и стандартный подход.
Хорошо работает с прокси, логированием и middleware.
Часто используется в браузерных приложениях.
Может быть HttpOnly и Secure.
Нужно учитывать CSRF.
Токен может попасть в логи.
Уязвим для утечек через referrer.
Stateless-подход
Сервер не хранит сессии.
Вся информация — в токене.
Срок жизни
JWT обычно короткоживущий.
Используются refresh-токены.
Безопасность передачи
Всегда через HTTPS.
Стандартный и самый безопасный способ передачи JWT — через заголовок Authorization: Bearer, остальные варианты используют только при особых требованиях.
