在需要身份验证的RESTful API中使用GET方法

我正在构建一个尽可能遵循RESTful原则的API。讨论中的请求是允许用户检查系统中可用的学分。在请求时，系统通过比较系统中已提供的用户名和密码来验证用户。请注意，更改身份验证方法（到OAuth或类似的方法）目前不是一个选项

由于这是一个“读取”请求，所以使用GET方法。因此，我有以下几点：

GET http://mydomain.com/credit?username=XYZ&password=123

通过遵循RESTful原则并正确使用动词，我担心用户名和密码很容易读取/访问。在一个非API的场景中，我会使用一个带有SSL的普通表单POST

---

假设上述风险是错误的吗？

您完全正确，在查询字符串中以纯文本形式公开用户名和密码是一个坏主意。比前三部星球大战电影更糟糕

但是，如果通过SSL发出相同的请求（假设是受信任的证书），您应该不会有问题

---

REST还有许多其他安全机制，如数字签名的DOSETA规范、JSON Web签名和加密等。但是，您似乎暗示这些事情不是一个选项。

您完全正确，在查询字符串中以纯文本形式公开用户名和密码是一个坏主意。比前三部星球大战电影更糟糕

但是，如果通过SSL发出相同的请求（假设是受信任的证书），您应该不会有问题

---

REST还有许多其他安全机制，如数字签名的DOSETA规范、JSON Web签名和加密等。但是，您似乎暗示这些事情不是一个选项。

您完全正确，在查询字符串中以纯文本形式公开用户名和密码是一个坏主意。比前三部星球大战电影更糟糕

但是，如果通过SSL发出相同的请求（假设是受信任的证书），您应该不会有问题

---

REST还有许多其他安全机制，如数字签名的DOSETA规范、JSON Web签名和加密等。但是，您似乎暗示这些事情不是一个选项。

您完全正确，在查询字符串中以纯文本形式公开用户名和密码是一个坏主意。比前三部星球大战电影更糟糕

但是，如果通过SSL发出相同的请求（假设是受信任的证书），您应该不会有问题

---

REST还有许多其他安全机制，如数字签名的DOSETA规范、JSON Web签名和加密等。但是您似乎暗示，这些类型的东西不是一个选项。

Http身份验证头设计用于存储用户名和密码等信息。您应该使用它。

Http身份验证头用于存储用户名和密码等信息。您应该使用它。

Http身份验证头用于存储用户名和密码等信息。您应该使用它。

Http身份验证头用于存储用户名和密码等信息。您应该使用它。

谢谢您的确认。它确实给了我在客户端应用程序中编写用户名和密码的鸡皮疙瘩，特别是当他们不懂的时候。事实上，我正试图绕过当前的身份验证方法，看看是否有可能实现上面建议的机制。应用程序ID和应用程序密钥对实用吗？REST没有指定任何类型的安全机制。不过，HTTP允许您在

授权

标题中指定授权信息。谢谢您的确认。它确实给了我在客户端应用程序中编写用户名和密码的鸡皮疙瘩，特别是当他们不懂的时候。事实上，我正试图绕过当前的身份验证方法，看看是否有可能实现上面建议的机制。应用程序ID和应用程序密钥对实用吗？REST没有指定任何类型的安全机制。不过，HTTP允许您在

授权

标题中指定授权信息。谢谢您的确认。它确实给了我在客户端应用程序中编写用户名和密码的鸡皮疙瘩，特别是当他们不懂的时候。事实上，我正试图绕过当前的身份验证方法，看看是否有可能实现上面建议的机制。应用程序ID和应用程序密钥对实用吗？REST没有指定任何类型的安全机制。不过，HTTP允许您在

授权

标题中指定授权信息。谢谢您的确认。它确实给了我在客户端应用程序中编写用户名和密码的鸡皮疙瘩，特别是当他们不懂的时候。事实上，我正试图绕过当前的身份验证方法，看看是否有可能实现上面建议的机制。应用程序ID和应用程序密钥对实用吗？REST没有指定任何类型的安全机制。然而，HTTP允许您在

授权

标题中指定授权信息。在阅读了答案以及建议的文章和机制之后，我相信使用SSL将是最好的方法。重要的是要理解，在坚持REST原则的同时，我不应该将其极端化到教条化的程度。在阅读了答案以及建议的文章和机制之后，我相信使用SSL将是最好的方法。重要的是要理解，在坚持REST原则的同时，我不应该将其极端化到教条化的程度。在阅读了答案以及建议的文章和机制之后，我相信使用SSL将是最好的方法。理解这一点很重要，因为h