我有一个RESTful轨后端其中http请求(GET,PUT,POST等)有很多工作要做,控制器动作(指数,新,创建等)Rails的路线和Android手机HTTPGET和HttpPOST
我正在构建一个android应用程序,并且我构建了一个api_key控制器,通过移动应用程序向所有用户分配api_key,每个请求都会发送此api_key以进行验证。
从android到rails的每个请求都有params [:api_key]进行验证,并且工作正常。
到目前为止,我已经使用HttpPost和HttpGet,但我知道GET是不安全的,因为它发送头中的参数。当我发送HttpGet请求时,我不希望有人在头中嗅探api_key。
那么,是否可以简单地使用HttpPost甚至在通常需要GET请求的控制器操作中?
感谢
谢谢,汤姆!你回答了我的两个问题。所以你说的是安全性,POST不比GET更安全? – railslearner 2012-03-15 00:29:11
没问题。不,POST不再安全。如果数据被拦截,api键仍然会以纯文本形式存在。 HTTPS可能是解决此问题的最简单方法,只需通过HTTPS将Android客户端的所有请求与密钥(无论是URL参数还是表单)进行匹配,这都是非常安全的。 – 2012-03-15 00:37:36