Loopback - 隐藏请求访问令牌
Loopback - Hide Request Access Token
我在使用 Loopback API 时遇到安全问题。问题是可以通过查询 URL / Header 访问访问令牌。我可以在调用 Loopback API 时隐藏访问令牌吗?或者是否有任何设置可以使用 POST 函数将访问令牌放入 Body 中?
谢谢。
不要将访问令牌作为 GET 参数发送,而是尝试将其作为 Authorization Header.
发送
Header: Authorization: $ACCESS_TOKEN
更多信息here
如果您在 API 中进行授权,则应始终使用 HTTPS。
仅对 URL 隐藏数据无助于防止攻击,因为信息仍将以明文形式在 headers/cookies 中发送。
如果启用 HTTPS 并将 HTTP 查询重定向到 HTTPS,则只有服务器和客户端可以看到该值,这是预期的行为。
这也将阻止以明文形式发送登录数据,这总是一个坏主意。
You can check this document on deployment or try this example project for enabling SSL.
我在使用 Loopback API 时遇到安全问题。问题是可以通过查询 URL / Header 访问访问令牌。我可以在调用 Loopback API 时隐藏访问令牌吗?或者是否有任何设置可以使用 POST 函数将访问令牌放入 Body 中?
谢谢。
不要将访问令牌作为 GET 参数发送,而是尝试将其作为 Authorization Header.
Header: Authorization: $ACCESS_TOKEN
更多信息here
如果您在 API 中进行授权,则应始终使用 HTTPS。
仅对 URL 隐藏数据无助于防止攻击,因为信息仍将以明文形式在 headers/cookies 中发送。
如果启用 HTTPS 并将 HTTP 查询重定向到 HTTPS,则只有服务器和客户端可以看到该值,这是预期的行为。
这也将阻止以明文形式发送登录数据,这总是一个坏主意。
You can check this document on deployment or try this example project for enabling SSL.