标准令牌位置 - header 或有效载荷
Standard Token place - header or payload
我想在与 server.I 通信时使用访问令牌保护我的应用程序,我正在使用 nginx 服务器记录请求中存在的所有 headers。如果我们记录 header,这是一种安全威胁。如果有人可以访问日志文件。他们可以轻松地操纵数据。那为什么人们在header中使用token呢?
在这种情况下,我们是否可以将payload视为正确的选择?
放置访问令牌的最佳位置(或标准方式)是什么:Header 或负载中?
两者的优缺点是什么?
恕我直言,这主要是品味问题,以及您用于测试的工具...
如果您使用 精心设计的 工具,它允许您设置自定义 headers,header 很好,因为它不会使负载混乱。但是,如果您希望能够使用简单的浏览器进行测试,添加请求参数比 header ...
更容易
你甚至可以接受两者,首先在 header 中查找,如果在 header 中找不到令牌,然后在有效负载中查找。
我想在与 server.I 通信时使用访问令牌保护我的应用程序,我正在使用 nginx 服务器记录请求中存在的所有 headers。如果我们记录 header,这是一种安全威胁。如果有人可以访问日志文件。他们可以轻松地操纵数据。那为什么人们在header中使用token呢?
在这种情况下,我们是否可以将payload视为正确的选择?
放置访问令牌的最佳位置(或标准方式)是什么:Header 或负载中?
两者的优缺点是什么?
恕我直言,这主要是品味问题,以及您用于测试的工具...
如果您使用 精心设计的 工具,它允许您设置自定义 headers,header 很好,因为它不会使负载混乱。但是,如果您希望能够使用简单的浏览器进行测试,添加请求参数比 header ...
更容易你甚至可以接受两者,首先在 header 中查找,如果在 header 中找不到令牌,然后在有效负载中查找。