Java 为公共身份验证保护Rest Web服务-服务器到服务器

我有一个公共RESTful API，用于web应用程序的用户身份验证，该应用程序接受明文形式的用户id和密码（见下文）。用户名作为路径参数在url路径中传递，密码是查询字符串参数。HTTP GET来自服务器端的另一个web应用程序（HTTP客户端请求），该API安全吗？我的印象是，如果请求从一个服务器发送到另一个服务器，则无法看到URL。我主要担心的是，有人可能会使用firebug之类的工具查看流量并获取用户ID和密码

休息终点：

HTTP GET https://host:80/user/joebob?password=pass123

---

有人用一个简单的网络嗅探器就可以看到用户名和密码。如果您正在发布请求，为什么URL中包含参数？它们应该像普通的帖子一样放在身体里，然后至少SSL保护生效，人们不能嗅到它们。另一个选择是查看HTTP Basic Auth。

我认为它可以被看到，只是用户端的某个人看不到。为了安全起见，你为什么不发一篇帖子呢？@Hassan-我担心在firebug或其他适用的嗅探器中会看到带有用户id/pwd的明文URL。服务使用者正在使用HTTPClient向RESTWeb服务执行HTTP POST。你是说别的吗？我说错了…它在做http GET。如果我将服务更改为接受POST并将参数放在正文中，而不是URL及其在SSL下，则无法嗅探？如果您更改为POST并将参数放在正文中并通过SSL发送，则它们将无法嗅探正文中的数据。感谢您的帮助…如果POST请求是从客户端框架启动的呢像jquery？POST是POST，不管它是否来自“真实”浏览器、jquery、httpunit等。只要它将参数放在正文中而不是作为查询参数，就可以了。