在 API 帖子正文中使用明确的用户名/密码而不是安全 token 来验证请求是否存在任何风险?知道使用 https 请求是安全的,并且所有请求都是 POST 类型。
最佳答案
如果您需要对每个请求执行此操作(类似于 HTTP Basic 身份验证),那么您就会增加攻击者利用通信系统中其他漏洞(弱密码、错误证书等)的机会 - 针对 HTTP Basic 弱点检查https://security.stackexchange.com/questions/988/is-basic-auth-secure-if-done-over-https .
此外,如果可以使用特殊用途的 token ,您应该更喜欢它,因为它们通常:
- 拥有较少的权限
- 无需更改密码即可轻松撤销。
- 可以是单一用途的(例如仅用于应用程序 XYZ 的 API 访问)
关于security - 发送用户名/密码而不是安全 token 问题,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/57132022/