0
我們正在設計一個簡單的RESTful API。從純粹的安全角度來看 - 如果我們只允許HTTPS連接,那麼通過線路發送的「?token = xxxxxxxxxxx」部分是加密的?是https://api.mycompany.com/[URI]?api_token=xxxxxxxx足夠安全嗎?
A
回答
0
沒有GET參數('?'之後的部分)未加密。標題是令牌更好的地方。您可以像這樣使用授權標題。
Authorization: Bearer xxxxxxx
頭部被加密,其URL(包括參數)可以顯示在日誌和用戶歷史記錄中,可能暴露該令牌。
這就是說在URL中的令牌可以是確定的某些情況下,尤其是如果它是一個短暫的令牌(< 1小時)
相關問題
- 1. AJP足夠安全嗎?
- 2. htmlspecialchars()足夠安全嗎?
- 3. 它足夠安全嗎?
- 4. Firebase:它足夠安全嗎?
- 5. PHP:filter_var安全性足夠安全嗎?
- 6. Gmail是否足夠安全?
- 7. 這是否足夠安全?
- 8. 此登錄系統足夠安全嗎?
- 9. Webservice安全性 - 什麼是足夠的?
- 10. 這些安全功能是否足夠?
- 11. Erlang是否通過cookie足夠安全?
- 12. 這是足夠安全的,對散列
- 13. php-login.net足夠小安全
- 14. mysql_real_escape_string:僅僅是數據庫安全就足夠了嗎?
- 15. 如何安全地統計會話:Session_Start/End in Global.Asax安全/足夠安全嗎?
- 16. PHP密碼保護足夠安全
- 17. 足夠的保護足夠了嗎?
- 18. 這個基本的文件上傳檢查足夠安全嗎?
- 19. 這個小Doctrine2動態SQL足夠安全的注入嗎?
- 20. PHP的FILTER_VALIDATE_EMAIL提供足夠的安全性嗎?
- 21. 用jQuery將數據發佈到ASP.net,我足夠安全嗎?
- 22. 表單身份驗證票證足夠安全嗎?
- 23. URL授權在ASP.NET中足夠安全嗎?
- 24. PHP會話足夠安全以便自己登錄嗎?
- 25. HashMaps足夠快嗎?
- 26. 這是php/mysql表達式(它設置連接的時區)足夠安全嗎?
- 27. 我的一次性密碼的安全性是否足夠安全?
- 28. Facebook的客戶端身份驗證是否足夠安全?
- 29. 這個哈希/驗證類是否足夠安全?
- 30. 是否足夠安全地使用一個會話?
有道理。謝謝。這是我現在放的地方。 – JasonGenX