Я ищу передовой опыт и безопасный подход к обработке страницы обновления пароля в SPA. Пользователь будет перенаправлен с именем пользователя и временным токеном со страницы входа, когда срок действия его пароля истечет. Пока нашел несколько вариантов:
- Ввод имени пользователя и токена в строку запроса, например:
/reset-password?username=test&token=jfF5$88F...
- Помещение имени пользователя и токена в параметр URL, например:
/reset-password/:username/:token
Другие параметры, не связанные с URL:
- Ввод в pushState. в моем случае с использованием react-router-dom:
history.push({ state: { username, token } })
- Помещение в Cookie или LocalStorage
Но мой главный вопрос заключается в том, что помещать эти данные в URL-адрес безопасно или нет? Может ли «Человек посередине» перехватить данные даже в протоколе https?