我正在为我的应用程序构建一个RESTful API,我希望尽可能保持干净透明.
我需要创建一个身份验证端点,我最有意义的是构建它,以便用户可以通过以下方式进行身份验证:
GET https://example.com/
auth?identity=<username_or_email>&password=<password>
正如我所说,在查询参数中使用HTTP GET方法传递用户auth数据对我来说似乎很干净.
但我想问你实际上有多安全.考虑到它将通过SSL/TLS加密,您认为传输这样的用户凭据是个好主意吗?