简单的问题。我想知道何时发送请求标头。在HTTP到HTTPS重定向之前还是之后?我的安全问题是,如果第三方供应商不小心使用HTTP发出请求,则他们会使用auth-token请求标头与我们的API联系。
感谢您在这方面的专业知识。
答案 0 :(得分:0)
您不能阻止您的第三方供应商通过HTTP发送令牌。好吧,您应该更改使用令牌的方式。甚至不必发送它,无论是否加密都可以。
使用令牌作为预共享的秘密。然后身份验证的工作方式如下:
第三方供应商向服务器发送请求,向服务器提供用户名或其他可识别他的用户名
服务器发送质询。这通常是单向函数(哈希函数)的应用。因此,服务器要求客户端发送一个auth-token的SHA1-Hash。
客户端通过计算auth-token的SHA1-Hash解决挑战。然后他将结果发送回服务器。
服务器通过计算身份验证令牌的相同SHA1-Hash来检查结果。
假设您使用的是安全哈希函数,那么攻击者就没有机会窃取令牌,因为令牌仅作为哈希值传输。
进一步阅读: https://blog.restcase.com/restful-api-authentication-basics/