REST GET API中的OAuth2安全性
我知道OAuth2是保护RESTAPI访问安全的好方法。我还了解到,与简单网站或SOAP API不同,在REST API中,您希望为正确的任务使用正确的HTTP方法。即读取数据、发布以写入数据等REST GET API中的OAuth2安全性,rest,oauth-2.0,Rest,Oauth 2.0,我知道OAuth2是保护RESTAPI访问安全的好方法。我还了解到,与简单网站或SOAP API不同,在REST API中,您希望为正确的任务使用正确的HTTP方法。即读取数据、发布以写入数据等 我的问题是,当对通过OAuth2保护的RESTAPI执行GET调用时,如何保护您的访问令牌?除了在URL的清晰视图中,我看不到任何其他方式将其传递到服务器,因此,任何人在网络上看到我的呼叫都可能劫持我的授权吗?HTTP请求有两个主要组件: 方法 网址 标题 身体 OAuth2承载令牌通常在报头中发送,如
我的问题是,当对通过OAuth2保护的RESTAPI执行GET调用时,如何保护您的访问令牌?除了在URL的清晰视图中,我看不到任何其他方式将其传递到服务器,因此,任何人在网络上看到我的呼叫都可能劫持我的授权吗?HTTP请求有两个主要组件:
GET /thingy HTTP/1.1
Host: api.example.org
Authorization: Bearer [secret]
另一方面,这一假设也并非真正正确:
所以,任何人在网络上看到我的电话都可能劫持我的授权,不是吗
如果您不使用HTTPS,任何人都可以看到此令牌,即使它位于标头中。如果您确实使用HTTPS,则在url中放置令牌不应允许任何其他人窥探。然而,出于不同的原因,将秘密放入URL被认为是一种不好的做法。特别是,人们不喜欢它,因为令牌可能会出现在浏览器历史记录和日志中。这增加了它意外落入坏人手中的可能性。HTTPS对于OAuth2是必需的。您可以在此处找到更多信息: