من یک برنامه SPA دارم که اطلاعات مربوط به کاربرانی را که از طریق API وارد سیستم شده اند با استفاده از یک درخواست AJAX دریافت و به روز می کند. با این حال ، درخواست ها با استفاده از JWT که از طریق درخواست URL منتقل می شود مجاز می باشند.

به عنوان مثال:
GET / Graphql؟ token = $ {token}

این درخواست از طریق HTTPS انجام می شود اما من خوانده ام که هنوز هم می تواند یک مسئله امنیتی بالقوه باشد زیرا درخواست های URL می توانند در سیاهههای مربوط به سرور یا پرونده های پروکسی پایان دهند. آیا واقعاً بهتر از این است که اگر از بدنه درخواست یا هدر عبور کنم؟