นี่เป็นบริการเว็บสงบเป็นครั้งแรกและฉันกังวลเกี่ยวกับปัญหาด้านความปลอดภัย การส่งโทเค็นการเข้าถึงของฉันผ่านส่วนหัว HTTP ปลอดภัยหรือไม่ ตัวอย่างเช่น:
POST /v1/i/resource HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Api-key: 5cac3297f0d9f46e1gh3k83881ba0980215cd71e
Access_token: 080ab6bd49b138594ac9647dc929122adfb983c8
parameter1=foo¶meter2=bar
SSLการเชื่อมต่อทำมากกว่า นอกจากนี้สิ่งที่จะต้องมีการกำหนดเป็นscopeคุณลักษณะสำหรับทุกคนaccess token
คำตอบ:
ถ้าคุณต้องส่งการเข้าถึงโทเค็นส่วนหัวผ่าน HTTP มันจะมีความเสี่ยงต่อการโจมตีแบบกลางคน
เมื่อคุณส่งส่วนหัวโทเค็นการเข้าถึงผ่าน HTTPS จะไม่มีใครนอกจากไคลเอ็นต์จะสามารถเห็นโทเค็นนี้ได้เนื่องจากคำขอจะได้รับการติดตามผ่านการเชื่อมต่อที่ปลอดภัย
ไม่มีปัญหาร้ายแรงในการถ่ายโอนโทเค็นการเข้าถึงผ่านส่วนหัว http เนื่องจากข้อมูลที่ถ่ายโอนถูกเข้ารหัสเมื่อใช้ SSL หมายความว่าสามารถเข้าใจได้เฉพาะลูกค้าที่ทำคำขอและเซิร์ฟเวอร์ที่ตอบสนองคำขอในระหว่างที่ไม่มีโอกาสที่จะ เข้าใจข้อมูลโดยบุคคลที่สาม
สิ่งอื่น ๆaccess tokenนั้นขึ้นอยู่กับเวลาดังนั้นพวกเขาจึงมีชีวิตตามช่วงเวลาที่กำหนดดังนั้นพวกเขาจึงไม่มีโอกาสใช้ในอนาคต
สิ่งที่ควรพิจารณาคือการแคช
แบ็กเอนด์ของคุณสามารถเห็นการเรียกหลาย ๆ ครั้งไปยัง URL เดียวกันด้วยพารามิเตอร์ GET / POST เดียวกัน แต่โทเค็นการเข้าถึงส่วนหัวที่แตกต่างกันและพิจารณาว่าเนื้อหาสามารถถูกแคชและรวมถึงเนื้อหาใด ๆ