Търся най-добрата практика и безопасен подход за работа със страница за подновяване на парола в SPA. Потребителят ще бъде пренасочен с потребителско име и временно означение от страницата за вход, когато паролата му изтече. Досега намерих няколко опции:
- Поставяне на потребителското име и токена в низ на заявка като:
/reset-password?username=test&token=jfF5$88F...
- Поставяне на потребителското име и токена в URL параметър като:
/reset-password/:username/:token
Други опции, които не се занимават с URL:
- Поставяне в pushState. в моя случай с помощта на реакция-рутер-дом:
history.push({ state: { username, token } })
- Поставяне на Cookie или LocalStorage
Но основният ми въпрос е безопасно ли е поставянето на тези данни в URL адреса? Може ли Man-In-The-Middle да отвлече данните дори в https протокол?