Javascript 使用put或delete(vs post)发送登录凭据是否安全?
我正在为一个webapp制作一个restfulapi 因为一些移动浏览器会在用户退出浏览器后删除客户端cookie,所以我使用local.storage来存储用户的密钥,该密钥可以发送到API以对用户进行身份验证Javascript 使用put或delete(vs post)发送登录凭据是否安全?,javascript,html,api,rest,login,Javascript,Html,Api,Rest,Login,我正在为一个webapp制作一个restfulapi 因为一些移动浏览器会在用户退出浏览器后删除客户端cookie,所以我使用local.storage来存储用户的密钥,该密钥可以发送到API以对用户进行身份验证 鉴于密钥足够长,更改频繁,并且所有通信都通过https进行,使用put或delete发送密钥安全吗?我的理解是,如果我使用get,该密钥可能会留在浏览器历史记录中,恶意用户可能会使用该密钥访问该用户的帐户。相比之下,邮政更安全。放置或删除如何?如果可能,我会通过HTTP头发送密钥;这样
鉴于密钥足够长,更改频繁,并且所有通信都通过https进行,使用put或delete发送密钥安全吗?我的理解是,如果我使用get,该密钥可能会留在浏览器历史记录中,恶意用户可能会使用该密钥访问该用户的帐户。相比之下,邮政更安全。放置或删除如何?如果可能,我会通过HTTP头发送密钥;这样,无论你使用哪种方法,无论是GET、POST、PUT等等,都无关紧要
另请参见:如果使用GET并将密钥作为参数发送,则绝对不安全。浏览器将缓存URL,这意味着密钥将在历史记录中可用。为了安全起见,我会把它们放在头上 如果您真的对安全感兴趣,您可以使用诸如质询-响应身份验证模式(或此模式的许多变体)之类的模式。我想你是在正确的轨道上,因为你经常提到你的关键变化无论如何。真正的问题是,你如何在客户端第一时间获取该密钥(安全吗?)