我们正在设计一个简单的RESTful API。从纯粹的安全角度来看 - 如果我们只允许HTTPS连接,那么"?token = xxxxxxxxxxx"在通过电线发送时加密的部分?
答案 0 :(得分:0)
没有GET参数('?'之后的部分)未加密。标头是令牌的更好位置。您可以像这样使用授权标题。
Authorization: Bearer xxxxxxx
标题是加密的,其中url(包括params)可以显示在日志和用户历史记录中,可能会暴露令牌。
那说url中的一个令牌在某些情况下可以正常,特别是如果它是一个短暂的令牌(< 1hr)