Security 作为websocket url查询参数的一部分发送访问令牌是否安全?
在使用Webhook获取中的频道生命周期事件通知时,将access_令牌作为websocket url查询参数的一部分发送是否安全Security 作为websocket url查询参数的一部分发送访问令牌是否安全?,security,websocket,real-time,ably-realtime,Security,Websocket,Real Time,Ably Realtime,在使用Webhook获取中的频道生命周期事件通知时,将access_令牌作为websocket url查询参数的一部分发送是否安全 (免责声明:我是Ably的开发者拥护者,在这里发布和自我回复堆栈溢出,这样我们的用户可以更容易地找到它)从安全角度来看,访问令牌存储在哪里并不重要。在普通HTTP请求中,它将存储在头中,或者在建立连接后存储在消息中。但是,许多for客户端不支持客户端头,可以检查流量的攻击者可以同样访问这两个客户端头。现在连接默认为通过TLS,因此从外部您无法访问查询参数,也无法访问
(免责声明:我是Ably的开发者拥护者,在这里发布和自我回复堆栈溢出,这样我们的用户可以更容易地找到它)从安全角度来看,访问令牌存储在哪里并不重要。在普通HTTP请求中,它将存储在头中,或者在建立连接后存储在消息中。但是,许多for客户端不支持客户端头,可以检查流量的攻击者可以同样访问这两个客户端头。现在连接默认为通过TLS,因此从外部您无法访问查询参数,也无法访问消息的内容
传统上,在查询参数中使用凭据被认为是不好的做法,因为URL可以存储在代理日志、浏览器历史记录等位置。但是,这两个问题都不适用于(浏览器不会保留页面连接的历史记录),当存在TLS隧道时,代理无法访问URL。当非TLS交互是默认交互时,就会出现这种问题。相比之下,大多数OAuth流都会使用access_token query参数进行端点访问。更适合于Re:logging,那么支持web套接字的HTTP服务器呢?HTTP服务器是否可能注销完整的请求URL,包括查询参数?