Это первый веб-сервис RESTful, и я обеспокоен вопросами безопасности. Безопасно ли передавать мой токен доступа через HTTP-заголовки? Например:
POST /v1/i/resource HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Api-key: 5cac3297f0d9f46e1gh3k83881ba0980215cd71e
Access_token: 080ab6bd49b138594ac9647dc929122adfb983c8
parameter1=foo¶meter2=bar
Соединение установлено SSL
. Кроме того, что необходимо определить как scope
атрибут для каждогоaccess token
Нет серьезной проблемы при передаче токена доступа через заголовки http, потому что переданные данные шифруются при использовании SSL, что означает, что их может понять только конкретный клиент, который сделал этот запрос, и сервер, который отвечает на запрос, между ними нет шансов понять данные любой третьей стороной.
Другое дело, что
access token
они основаны на времени, поэтому у них есть жизнь в течение определенного периода, поэтому у них нет шансов на использование в будущем.источник
Также нужно учитывать кеширование.
Ваш бэкэнд мог видеть несколько обращений к одному и тому же URL с одинаковыми параметрами GET / POST, но с другим токеном доступа к заголовку и учитывать, что содержимое может быть кэшировано и доставлено в любое тело
источник