我建议包括过滤信息和通常的URL方法,以通过RESTful服务访问资源。
客户担心该URL将包含他们不希望由Web服务器或其他基础架构应用程序记录的信息。
可以有哪些替代方案?
答案 0 :(得分:2)
您可以将Web服务器配置为不记录这些信息。这就是Nginx的情况:
http级:
log_format scrubbed '"$http_x_forwarded_for - $remote_user [$time_local] '
'"$scrubbed_request" $status $body_bytes_sent '
'"$http_referer" "$http_user_agent"';
server级:
access_log /var/log/access.log scrubbed;
location级:
set $scrubbed_request $request;
if ($scrubbed_request ~ (.*)sensitive=[^&]*(.*)) {
set $scrubbed_request $1sensitive=****$2;
}
代码来自here,请访问该链接以获取更多信息。
答案 1 :(得分:1)
如果你不关心虔诚的Restful,你可以通过SSL使用POST或PUT提交所有内容。在Web服务器日志中不记录Post参数(如GET url)。
如果它只是您不想记录的身份验证详细信息(如client_id和client_secret),则可以使用授权标头。