使用api帖子正文中的用户名/密码(而不是安全令牌)来验证请求是否存在任何风险?知道使用https是安全的,并且所有请求的类型均为POST。
如果您需要针对每个请求(类似于HTTP Basic身份验证)执行此操作,则将增加攻击者利用通信系统中的其他漏洞(弱密码,错误证书等)的机会-对于HTTP Basic弱项,请检查https: //security.stackexchange.com/questions/988/is-basic-auth-secure-if-done-over-https。
此外,如果可以使用特殊用途的令牌,则应优先考虑,因为它们通常:
| 归档时间: |
|
| 查看次数: |
43 次 |
| 最近记录: |