0
我們正在設計一個簡單的RESTful API。從純粹的安全角度來看 - 如果我們只允許HTTPS連接,那麼通過線路發送的「?token = xxxxxxxxxxx」部分是加密的?是https://api.mycompany.com/[URI]?api_token=xxxxxxxx足夠安全嗎?
我們正在設計一個簡單的RESTful API。從純粹的安全角度來看 - 如果我們只允許HTTPS連接,那麼通過線路發送的「?token = xxxxxxxxxxx」部分是加密的?是https://api.mycompany.com/[URI]?api_token=xxxxxxxx足夠安全嗎?
沒有GET參數('?'之後的部分)未加密。標題是令牌更好的地方。您可以像這樣使用授權標題。
Authorization: Bearer xxxxxxx
頭部被加密,其URL(包括參數)可以顯示在日誌和用戶歷史記錄中,可能暴露該令牌。
這就是說在URL中的令牌可以是確定的某些情況下,尤其是如果它是一個短暫的令牌(< 1小時)
有道理。謝謝。這是我現在放的地方。 – JasonGenX