Node.js 环回-隐藏请求访问令牌
我使用环回API时存在安全问题。问题是访问令牌可以通过查询URL/头访问。我可以在调用环回API时隐藏访问令牌吗?或者是否有任何设置可以使用POST函数将访问令牌放入正文中Node.js 环回-隐藏请求访问令牌,node.js,access-token,loopbackjs,node-modules,loopback,Node.js,Access Token,Loopbackjs,Node Modules,Loopback,我使用环回API时存在安全问题。问题是访问令牌可以通过查询URL/头访问。我可以在调用环回API时隐藏访问令牌吗?或者是否有任何设置可以使用POST函数将访问令牌放入正文中 谢谢。不要将访问令牌作为GET参数发送,而是尝试将其作为授权头发送 标题:授权:$ACCESS\u令牌 更多信息不要将访问令牌作为GET参数发送,而是尝试将其作为授权头发送 标题:授权:$ACCESS\u令牌 更多信息如果您在API中进行授权,则应始终使用HTTPS 仅仅从URL隐藏数据并不能帮助您防止攻击,因为信息仍将以明
谢谢。不要将访问令牌作为GET参数发送,而是尝试将其作为
授权
头发送
标题:授权:$ACCESS\u令牌
更多信息不要将访问令牌作为GET参数发送,而是尝试将其作为
授权
头发送
标题:授权:$ACCESS\u令牌
更多信息如果您在API中进行授权,则应始终使用HTTPS 仅仅从URL隐藏数据并不能帮助您防止攻击,因为信息仍将以明文形式发送到标题/cookie中 如果启用HTTPS并将HTTP查询重定向到HTTPS,则只有服务器和客户端可以看到该值,这是预期的行为 这也将阻止以明文形式发送登录数据,这通常是个坏主意
或者试试。如果您在API中进行授权,则应始终使用HTTPS 仅仅从URL隐藏数据并不能帮助您防止攻击,因为信息仍将以明文形式发送到标题/cookie中 如果启用HTTPS并将HTTP查询重定向到HTTPS,则只有服务器和客户端可以看到该值,这是预期的行为 这也将阻止以明文形式发送登录数据,这通常是个坏主意
或者试试。你好,Tobias,谢谢你的反馈,我试过了,但它仍然在头中公开了访问令牌。示例:GET/api/AgentParties HTTP/1.1主机:10.53.6.13:3000授权:LQT09Vobp5ZYzutBdETooEU28ydOvG6QyEaycAhGGE6WZsLCQZZ8g2eCrEKw7J3t缓存控制:无缓存邮递员令牌:3ec25658-7e8c-fcf5-26ef-1f69a2e3473c谢谢。@Xnuxer为什么/您使用哪个日志记录工具?Burp套件,但在转换为https(SSL)时已经解决了,而不是使用http。谢谢Tobias。@Xnuxer是否自动隐藏了访问令牌?我读了这篇文章并切换到https,但令牌仍然暴露在外。嗨@DavidLuong,你不能隐藏访问令牌。出于安全原因,如果您使用移动应用程序,则必须使用HTTPS和证书固定。嗨,Tobias,感谢您的反馈,我尝试过,但它仍然在标头中公开访问令牌。示例:GET/api/AgentParties HTTP/1.1主机:10.53.6.13:3000授权:LQT09Vobp5ZYzutBdETooEU28ydOvG6QyEaycAhGGE6WZsLCQZZ8g2eCrEKw7J3t缓存控制:无缓存邮递员令牌:3ec25658-7e8c-fcf5-26ef-1f69a2e3473c谢谢。@Xnuxer为什么/您使用哪个日志记录工具?Burp套件,但在转换为https(SSL)时已经解决了,而不是使用http。谢谢Tobias。@Xnuxer是否自动隐藏了访问令牌?我读了这篇文章并切换到https,但令牌仍然暴露在外。嗨@DavidLuong,你不能隐藏访问令牌。出于安全原因,如果使用移动应用程序,则必须使用带有证书固定的HTTPS。即使使用HTTPS,从URL隐藏访问令牌实际上也是一个好主意。有很多方法可以利用这一点,比如无意中为URL添加书签、浏览历史记录,甚至尝试共享链接。即使使用HTTPs,从URL隐藏访问令牌实际上也是一个好主意。有很多方法可以利用这一点,比如无意中为URL添加书签、浏览历史记录,甚至尝试共享链接。