通过HTTPS发送数据时,我知道内容已加密,但我听到有关标头是否已加密或标头加密程度的混合答案.
有多少HTTPS标头已加密?
包括GET/POST请求URL,Cookie等.
我正在使用带有REST API的PhoneGap为后端开发移动应用程序.REST API不会被第三方开发人员使用,但将是特定于应用程序的,因此不需要实现oAuth.因此,我打算使用基本身份验证,在用户输入用户名/密码以访问API资源.所有API通信都将在SSL上.
我宁愿在第一次登录请求时验证用户名/密码并发回GUID令牌,而不是让应用程序存储用户名/密码并随每次请求发送给API.客户端存储此GUID令牌,并通过Authorization标头将每个请求发送回API,如下所示:
授权:基本e1d9753f-a508-46cc-a428-1787595d63e4
在服务器端,用户名/ GUID组合将存储在服务器上,并带有到期日期和设备设置.这将允许跟踪用户登录的设备数量,以及Guid到期后会话到期.
这种方法听起来合理安全吗?
我正在研究RESTs版本化API的各种方法,并且有三个主要的竞争者.我相信我已经完全使用了X-API-Version.抛开这个争论,反对使用该标头和一般自定义标头的一个论点是,您无法控制何时由代理服务器操纵标头.我很好奇这个实际的例子,当它发生在互联网上,或者它可能在内部网或服务器集群上使用时,或者它可能在任何其他情况下发生时.
我有一个 REST API 端点端点/操作。该方法是 POST,请求正文中包含 json 数据。我有两个标题
对象在处理过程中被反序列化,“someId”用于其他进程
想知道在 http 标头中发送 json 字符串/数据是否是一个好习惯。在 Http 标头文档中找不到任何内容。选项只是发送“someId”并使用 id 获取对象