假设我有一个API服务,其端点为abc.com/api。现在,客户端具有CLIENT_ID,该URL包含在客户端(例如abc.com/api/name=Hello&CLIENT_ID=xxx)中,用于在服务器端对客户端进行授权。授权后,API发送回响应。 但是,也可能发生在此特定网址之间被截获的情况,从而暴露了CLIENT_ID。我的问题是,Rest API如何确保客户端得到授权,并且仅将响应发送到已授权的客户端,即我。谢谢。
答案 0 :(得分:1)
如果您使用的是HTTPS,则由于数据将被加密,因此大多数请求都受到了“拦截”或“中间人”攻击的保护。但是,授权令牌通常不包含在查询参数中,因为URL记录在客户端和服务器端的各个位置,从而降低了安全级别。取而代之的是,授权数据通常包含在HTTP标头(通常为cookie)中。