我是 API 开发的新手。目前我在请求正文中传递了我的访问/身份验证 token 。例如,
{
status:true,
token:"<thetoken>"
}
但是,当我提到 API 安全性时,他们使用
Authorization header 传递 token 。我的问题是,如果我在请求正文中发送 token ,会发生什么或出了什么问题?
-- 谢谢你❤ ---
最佳答案
首先,保护 API 端点是一项已解决的任务。我建议您不要发明自己的授权协议(protocol),而是查看现有的行业标准,例如 OAuth 2.0 授权框架 (RFC 6749)。
出于多种原因,遵循标准是有意义的:
但是,在请求正文中发送访问 token 并没有错。在 RFC 6750 OAuth 2.0 协议(protocol)定义了所有可能的不记名 token 用法,包括将 token 作为 Form-Encoded Body Parameter 发送.请务必仔细阅读并考虑安全因素。
长话短说:只要您遵循标准,您如何分发访问 token 并不重要。
关于api - 为什么要在 `Authorization: Bearer ` header 中发送 token ?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/53504223/