我和我的团队正在开发一个基于多租户和多数据库架构的项目。我们使用Laravel作为API，React JS作为前端。超级管理员 Jmeter 板可以登录作为租户管理员（这是一个模拟的例子）。我们实现模拟的方式是在Laravel中登录用户，并在url中发送一个令牌，以便前端处理它。例如，URL看起来像：https://tenantdomain.mywebsite.com?impersonate=tokenDetails。在React中，我们处理令牌并对用户进行身份验证。我们使用Laravel Passport来发布API令牌
我怀疑这有安全问题，因为URL对任何人都是可见的。
有没有更安全的方法来实现Laravel API和REACT JS之间的模拟？我在考虑HTTP头或Cookie