Đây là dịch vụ web RESTful đầu tiên và tôi lo ngại về các vấn đề bảo mật. Có an toàn để truyền mã thông báo truy cập của tôi qua các tiêu đề HTTP không? Ví dụ:
POST /v1/i/resource HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Api-key: 5cac3297f0d9f46e1gh3k83881ba0980215cd71e
Access_token: 080ab6bd49b138594ac9647dc929122adfb983c8
parameter1=foo¶meter2=bar
Các kết nối được thực hiện trên SSL. Ngoài ra, những gì cần phải được xác định là scopethuộc tính cho mọiaccess token
Câu trả lời:
Nếu bạn đã truyền tiêu đề mã thông báo truy cập thông qua HTTP, thì nó sẽ dễ bị tấn công giữa chừng.
Khi bạn truyền tiêu đề mã thông báo truy cập thông qua HTTPS, thì không ai ngoài máy khách sẽ có thể thấy mã thông báo này vì yêu cầu sẽ được điều chỉnh thông qua kết nối an toàn.
Không có vấn đề nghiêm trọng nào trong việc chuyển mã thông báo truy cập qua các tiêu đề http vì dữ liệu được truyền được mã hóa khi SSL được sử dụng, có nghĩa là chỉ có thể hiểu được bởi khách hàng cụ thể đã thực hiện yêu cầu đó và máy chủ trả lời yêu cầu, ở giữa không có cơ hội để hiểu dữ liệu của bất kỳ bên thứ ba.
Điều khác là access tokendựa trên thời gian để họ có một cuộc sống trong một khoảng thời gian cụ thể để họ không có cơ hội sử dụng trong tương lai.
Một điều cần xem xét cũng là bộ nhớ đệm.
Phần cuối của bạn có thể thấy một số cuộc gọi đến cùng một URL, với cùng tham số GET / POST nhưng mã thông báo truy cập tiêu đề khác và xem xét nội dung có thể được lưu trong bộ nhớ cache và sever cho bất kỳ phần thân nào.