REST API 如何在客户端维护授权?
How does REST API maintain authorization at the client side?
假设我有一个 API 服务,端点为 abc.com/api。现在,客户端有一个 CLIENT_ID 包含在 URL 中(例如:abc.com/api/name=Hello&CLIENT_ID=xxx)用于客户端授权服务器端。授权后,API 发回响应。
但是,也可能发生这个特定的 url 在中间被截获,从而暴露了 CLIENT_ID。我的问题是,Rest API 如何确保客户端获得授权,并仅向授权客户端(即我)发送响应。谢谢提前。
如果您使用的是 HTTPS,您的请求大多会受到保护,免受 "interception" 或 man-in-the-middle 攻击,因为数据将被加密。但是,授权令牌通常不包含在查询参数中,因为 URL 记录在客户端和服务器端的不同位置,从而降低了安全级别。相反,授权数据通常包含在 HTTP headers 中(通常作为 cookie)。
假设我有一个 API 服务,端点为 abc.com/api。现在,客户端有一个 CLIENT_ID 包含在 URL 中(例如:abc.com/api/name=Hello&CLIENT_ID=xxx)用于客户端授权服务器端。授权后,API 发回响应。 但是,也可能发生这个特定的 url 在中间被截获,从而暴露了 CLIENT_ID。我的问题是,Rest API 如何确保客户端获得授权,并仅向授权客户端(即我)发送响应。谢谢提前。
如果您使用的是 HTTPS,您的请求大多会受到保护,免受 "interception" 或 man-in-the-middle 攻击,因为数据将被加密。但是,授权令牌通常不包含在查询参数中,因为 URL 记录在客户端和服务器端的不同位置,从而降低了安全级别。相反,授权数据通常包含在 HTTP headers 中(通常作为 cookie)。