那些遇到过的问题

凭据的授权请求标头与 POST 请求正文

unn*_*nik 8 authentication

将用户凭据从前端发送到后端服务器的正确方法是什么?我看到一些开发人员使用授权标头和一些在 POST 正文中传递凭据的示例。

小智 7

凭据通常会在尝试登录时进入请求正文一次。您应该收到一个令牌作为回报,尽管您是通过 HTTP 标头、请求正文还是作为 GET 参数发送此令牌取决于您(或您正在实施的协议) )。

使用标头通常是一个很好的做法,因为 GET 请求不应包含请求正文,并且将令牌作为 GET 参数传递可能并不总是一种选择(例如,由于令牌出现在各种日志中)。

无论哪种方式,我都会建议您避免尝试实现自己的协议,而是使用现有标准。

  • 需要明确的是,即使使用 HTTPS/SSL,在 GET 请求中将秘密信息作为 URL 参数传递也是不安全的。 (2认同)

小智 5

网站将密码传输到服务器的唯一安全方法是使用 HTTPS/SSL。如果连接本身未加密,ManInTheMiddle 可以修改或删除发送到客户端的任何 JavaScript。所以你不能依赖客户端哈希。

此外,始终使用标头发送敏感数据,例如 USER-ID、API-KEY、AUTH-TOKENS 您可以参考此堆栈问题链接以获取更多信息和此链接

归档时间:

查看次数:

6919 次

最近记录:

6 年,10 月 前
HTTPS标头是否已加密? 554
更多相关链接
相关归档
密码哈希 - 如何升级? 27
LDAP与SAML授权 16
Python urllib2 HTTPS和代理NTLM身份验证 6
我们可以将身份服务器4中的用户限制为特定的应用程序吗? 6
Web API – 使用不记名令牌进行身份验证 6
如何使用 REST API 通过 OAuth2 和 React Native 进行身份验证? 5
Django - 如何检查查询集的所有属性? 4
Web API控制器和MVC控制器 - 身份验证 3
在php登录会话中抓取用户名 2
Nestjs如何将数据从AuthGuard传递到控制器 1
难疑归档
如果我有jQuery背景,"在AngularJS中思考"? 4518
如何通过引用传递变量? 2480
如何在JavaScript中获取当前日期? 2152
如何格式化Microsoft JSON日期? 1954
常规演员与static_cast与dynamic_cast 1661
varchar和nvarchar有什么区别? 1300
Tab键== 4个空格并在Vim中的花括号后自动缩进 1224
迭代集合,在循环中删除对象时避免使用ConcurrentModificationException 1158
LF将被git中的CRLF取代 - 这是什么,它是否重要? 1146
Django会扩展吗? 1101