Jest to pierwsza usługa internetowa RESTful i martwię się o kwestie bezpieczeństwa. Czy przesyłanie mojego tokena dostępowego za pomocą nagłówków HTTP jest bezpieczne? Na przykład:
POST /v1/i/resource HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Api-key: 5cac3297f0d9f46e1gh3k83881ba0980215cd71e
Access_token: 080ab6bd49b138594ac9647dc929122adfb983c8
parameter1=foo¶meter2=bar
Połączenie wykonane SSL
. Ponadto, co należy zdefiniować jako scope
atrybut każdegoaccess token
Przenoszenie tokena dostępu przez nagłówki http nie stanowi poważnego problemu, ponieważ przesyłane dane są szyfrowane, gdy używany jest protokół SSL, co oznacza, że może je zrozumieć tylko konkretny klient, który wysłał to żądanie, i serwer, który odpowiada na to żądanie, pomiędzy nimi nie ma szans na zrozumieć dane stron trzecich.
Inna sprawa jest
access token
oparta na czasie, więc mają życie przez określony czas, więc nie mają szans na wykorzystanie w przyszłości.źródło
Należy również wziąć pod uwagę buforowanie.
Twój backend może zobaczyć kilka wywołań do tego samego adresu URL, z tymi samymi parametrami GET / POST, ale z innym tokenem dostępu do nagłówka i rozważyć, że zawartość może być buforowana i może być przechowywana w dowolnej treści.
źródło