如何保证REST获取方法的安全？

HTTP GET方法将通过url传输数据，如

https://www.example.com/users?id=1

。如果我使用HTTPS，连接将是安全的，但是链接中的敏感数据仍然可以在处理客户端请求的链接时登录到服务器上，从而暴露出一些黑客稍后会获取的秘密

不在链接上存储任何内容，因为它可以登录到web服务器

但REST使用GET检索数据，就像在

CRUD

操作中的“读取”一样

因此，问题是，如何在REST上进行安全的GET呼叫？

---

编辑：一个示例：OWASP说在URL地址上不包含API密钥，但由于GET请求中发送的所有数据都放在URL上，既然无法将API密钥放在URL上，我如何将API密钥发送到其他地址的服务器以授权该用户的GET响应？

OWASP没有解释如何实现这一点

编辑：一个例子：OWASP说在URL地址上不包含API键，但由于GET请求上发送的所有数据都放在URL上，我如何将API键发送到其他地址的服务器以授权该用户的GET响应，因为我无法将其放在URL本身上

---

必须在URL中指定所有数据，这是错误的。有很多东西实际上进入了HTTP头！您应该使用

授权

标题，而不是url中的API键。

您应该更具体地说明敏感数据的真正含义。不同类型的数据需要不同类型的保护。我的意思是，任何数据如果被记录，都会被破坏。这不是关于如何保护通过GET传输的内部数据的问题，而是关于如何安全地使用GET的问题。我已经理解了这一点。再说一遍：什么样的数据？请看编辑，我举了一个例子，可能会让事情更进一步。是的，我只是想了解我发布的链接…在这里使用：在第一个主题：“身份验证和会话管理”下，我是REST web编程的新手，我在vanilla javascript和jquery上看到的所有AJAX请求都传递了服务器的GET URL上的所有数据。@MFK现在您知道要查找什么了。