是https://api.mycompany.com/[URI]?api_令牌=xxxxxxxx是否足够安全?
我们正在设计一个简单的RESTful API。从纯粹的安全角度来看-如果我们只允许HTTPS连接,那么当通过电线发送时?token=xxxxxxxxxx部分是否加密 无获取参数“?”之后的部分未加密。标头是标记的更好位置。您可以像这样使用授权标头是https://api.mycompany.com/[URI]?api_令牌=xxxxxxxx是否足够安全?,api,http,Api,Http,我们正在设计一个简单的RESTful API。从纯粹的安全角度来看-如果我们只允许HTTPS连接,那么当通过电线发送时?token=xxxxxxxxxx部分是否加密 无获取参数“?”之后的部分未加密。标头是标记的更好位置。您可以像这样使用授权标头 Authorization: Bearer xxxxxxx 标头是加密的,其中包含参数的url可以显示在日志和用户历史记录中,这可能会暴露令牌 也就是说,url中的令牌在某些情况下是可以使用的,特别是如果它是一个短生命的令牌有意义的话。谢谢这就是我现
Authorization: Bearer xxxxxxx
也就是说,url中的令牌在某些情况下是可以使用的,特别是如果它是一个短生命的令牌有意义的话。谢谢这就是我现在放的地方。