Javascript 调用RESTful api时，将api令牌放在http请求头中是否安全？e、 g.：优步提醒api

您可以使用uber RESTful api向uber应用程序用户发送提醒，例如“本地AMC电影”。api文档是

POST/v1/提醒

但您必须在http请求头中放置一个令牌（他们称之为服务器令牌）以进行身份验证。博士是

用户可以使用chrome开发工具查看令牌。我的问题是:

从前端发送的http请求头中放入应用令牌安全吗？为什么？

---

我应该在服务器上还是在浏览器中使用Javascript调用提醒

虽然可以在（下面的屏幕截图）中删除并生成新的服务器令牌，但不应公开使用服务器令牌（例如，通过前端的JS变量）。使用此令牌，其他人可以创建、检索、更新和删除提醒

此外，服务器令牌可用于代表您检索估价（&）和优步。这听起来可能无关紧要，但可能会影响应用程序的性能（每小时2000个请求）。如果服务器令牌落入坏人之手，它可以有效地阻止您的应用程序定期与Uber API通信

---

我强烈建议在服务器端实现此功能。

任何访问前端应用程序的人都可以查看令牌，因此如果令牌不基于时间/未过期，则不太安全文档中引用的所有库都是服务器端的-因此我想说，在客户端执行此操作不安全-但这只是一个外行意见

curl -H 'Authorization: Token YOUR_SERVER_TOKEN' \
'https://api.uber.com/v1/products?latitude=37.7759792&longitude=-122.41823'