我正在为我的应用程序构建一个RESTful API,并且希望尽可能使其清晰透明。在HTTP GET查询参数中传递用户名和密码
我需要创建一个身份验证的端点,它最有意义我建立它,这样用户就可以在下面的方式进行身份验证:
GET https://example.com/
auth?identity=<username_or_email>&password=<password>
正如我所说的,通过使用用户身份验证数据的HTTP GET方法在查询参数中对我来说似乎很干净。
但是我想请你问一下它的实际安全性。考虑到它将通过SSL/TLS加密,你认为这样传输用户凭证是个好主意吗?
他正在构建一个REST API;不是从最终用户的Web浏览器访问的东西,而是从另一个服务器调用。所以没有浏览器历史记录,也没有引用。 此外,构建API的人也应该能够调整服务器的日志设置,以便敏感数据不会被记录(例如https://stackoverflow.com/questions/9467405/is-it-possible-to-exclude-specified -get-参数合apache的存取日志/ 9473943#9473943)。无论如何,您应该考虑使用用户名和密码之外的这些东西,尤其是现在的数据隐私法。 – Arthur