Mar*_*Ath 4 java rest restful-authentication jax-rs basic-authentication
我已经看到在GET和POST请求中都完成了基本身份验证。
一方面,我认为浏览器缓存GET请求可能是一个问题,但另一方面:POST更大但鼓励提供敏感信息。
我不是在问GET和POST请求之间的区别,而是应该将哪一个用于基本身份验证。应该GET只与 HTTPS 一起使用吗?应该POST一直使用吗?
我的问题是应该使用哪一个?哪个是更好的做法?
应该
GET只与 HTTPS 一起使用吗?应该POST一直使用吗?
通过网络发送/请求敏感信息时,无论使用何种 HTTP 方法,都必须使用 HTTPS。HTTPS 确保两者身体和头进行加密。
请记住,绝不能在 URL 中发送敏感信息(例如密码和支付卡号):请求的 URL 可能会被服务器和代理记录;如果浏览器请求该 URL,则该 URL 将转到浏览器历史记录。然后你就有了安全漏洞。
哪一个应该用于基本身份验证?
在基本认证方案不依赖于任何特定的HTTP方法。每个HTTP 方法都有自己的语义,因此您可能需要不同的方法来设计 API。并且这些方法中的每一个都可以执行需要认证和/或授权的操作。
RFC 7235 中描述的 HTTP 身份验证框架定义凭据应在Authorization标头中发送,因此它们可以应用于任何 HTTP(S) 请求。
强调身份验证方案(例如 Basic)旨在应用于保护空间(通常称为领域)也很重要(有关详细信息,请参阅我之前的回答)。
小智 5
GET 和 POST 方法都用于通过 HTTP 协议将数据从客户端传输到服务器,但 POST 和 GET 方法的主要区别在于 GET 携带附加在 URL 字符串中的请求参数,而 POST 携带请求参数在消息体中,这使得它更安全的方式使用http协议将数据从客户端传输到服务器。所以这取决于你的需求。希望能帮助到你 !
| 归档时间: |
|
| 查看次数: |
4958 次 |
| 最近记录: |