我有一个公共RESTful API,用于对以明文形式接受用户ID和密码的Web应用程序进行用户身份验证(见下文)。用户名在url路径中作为路径参数传递,密码是查询字符串参数。 HTTP GET来自服务器端的另一个Web应用程序(http客户端请求),这个API是否安全?我的印象是,如果请求从服务器到服务器,则无法看到URL。我主要担心的是有人可能会使用像firebug这样的东西并查看流量并获取用户ID和密码。
REST终点:
HTTP GET https://host:80/user/joebob?password=pass123
答案 0 :(得分:1)
有人绝对可以通过简单的网络嗅探器看到用户名和密码。如果您要发布请求,为什么URL中的参数?它们应该像正常的POST一样在体内,然后至少SSL保护开始,人们无法嗅探它们。另一种选择是查看HTTP Basic Auth。