使用带有双因素身份验证的HTTP GET方法_Http_Security_Two Factor Authentication_Http Method

使用带有双因素身份验证的HTTP GET方法

http security

使用带有双因素身份验证的HTTP GET方法,http,security,two-factor-authentication,http-method,Http,Security,Two Factor Authentication,Http Method,从安全角度来看，在GET请求中通过查询字符串传递双因素代码可以吗假设我有一个要获取的受保护资源。用户已登录并已启用2FA。因为我只想获取一个资源，所以我会使用HTTPGET方法但是，既然规范“不允许”GET请求的请求体，我如何安全地从Google Authenticator或类似的东西传递2FA令牌呢？将URL中的6位代码作为查询字符串传递是否安全 GEThttps://example.com/api/my-resource?code=123456 或者为了2FA，我必须将端点更改为POST

从安全角度来看，在GET请求中通过查询字符串传递双因素代码可以吗

假设我有一个要获取的受保护资源。用户已登录并已启用2FA。因为我只想获取一个资源，所以我会使用HTTPGET方法

但是，既然规范“不允许”GET请求的请求体，我如何安全地从Google Authenticator或类似的东西传递2FA令牌呢？将URL中的6位代码作为查询字符串传递是否安全

GEThttps://example.com/api/my-resource?code=123456

或者为了2FA，我必须将端点更改为POST吗？

为什么不将其放在标题中？@Evert作为自定义标题，如

X-TwoFactor-Token:123456

？或者将其附加到

授权

头中，用逗号将其与承载令牌分隔开来

，

？当然！这两个听起来都不错。