0
我们当前的REST API实现对查询字符串中的所有类型的请求(PUT,POST,GET)使用apiKey。我觉得这是错误的,但无法解释为什么(也许apiKey可以兑现服务器和客户端之间的某处)。喜欢的东西:查询字符串中的验证令牌
POST /objects?apiKey=supersecret {name: 'some'}
所以,它是一个安全问题吗?请描述HTTP和HTTPS连接的情况下
A
回答
2
HTTP
你的绝密值可以看到和thirdparties截获每当你从客户端发送到服务器,反之亦然,不论你是否使用PUT,POST等等。当你使用cookies来存储这些值而不是查询字符串时,情况更是如此。
HTTPS:
当数据在传输过程中您的客户端和服务器之间不能因为被截获其通过HTTPS保护,即使是在查询字符串。但是大多数人认为查询字符串中的数据发送不好,因为很多系统都会记录查询字符串。例如,大多数服务器都配置为使用路径&查询参数打印访问日志。另外,如果它来自浏览器,它可以存储在浏览器历史记录中。
相关问题
- 1. 在查询字符串身份验证令牌与ASP.NET MVC
- 2. JWT不记名令牌在验证后放入查询字符串中
- 3. php查询字符串验证
- 4. Facebook验证查询字符串丢失
- 5. 我需要验证在asp.net中的查询字符串
- 6. 如何通过IronMQ令牌通过查询字符串
- 7. MVC防伪requestvalidation令牌出现在查询字符串
- 8. 如何处理Grape API和token_and_options中的身份验证令牌字符串?
- 9. 字符串令牌化
- 10. 分割字符串/令牌
- 11. 令牌化字符串C
- 12. java中的字符串令牌化
- 13. 获取字符串中的令牌块
- 14. 令牌化C中的字符串
- 15. 令牌化文件中的字符串
- 16. 如何在C#代码中验证Oracle查询字符串?
- 17. 忽略令牌字符中的令牌?
- 18. 在基于令牌的身份验证中,令牌如何验证?
- 19. 使用Django的查询字符串中的令牌REST框架的TokenAuthentication
- 20. oAuth2春季令牌验证/验证
- 21. 使用查询字符串加密的REST API身份验证
- 22. 使用PHP查询字符串验证的URL
- 23. iPhone Google Data API HTTP协议,来自字符串的身份验证令牌
- 24. 在Ruby中令牌化字符串?
- 25. 从字符串中提取令牌
- 26. 从查询字符串中的令牌授权AWS API网关请求
- 27. PHP查找字符串并验证它
- 28. 解密/验证Firebase令牌
- 29. 如何验证SAML令牌
- 30. Django Rest Framework令牌验证