为了获得令牌,我发布了以下请求:
http://example.com/wordpress/wp-json/jwt-auth/v1/token?username=MYLOGIN&password=MYPASSWORD
作为回应,我得到了令牌-很好,但是...如果我不想显示用户名并登录请求的URL,即使是一次也该怎么办。
可以看到我的计算机请求的每个人都可以轻松捕获我的登录名和密码。我可以以某种方式将这些敏感数据隐藏在请求标头中而不是url参数中吗?我正在使用“ Chrome Insomnia”应用程序来测试REST api,并且在PARAMS和HEADERS旁边有一个AUTH选项卡,我可以在其中输入用户名和密码-也许那是我可以用来发送用户数据以获取访问令牌而无需蜂鸣的地方容易看到?
我尝试使用AUTH选项卡登录,但作为响应:
{
"code": "jwt_auth_bad_auth_header",
"message": "Authorization header malformed.",
"data": {
"status": 403
}
}
请不要让我回到wp-api documentaion,因为我无法通过阅读那里的文档来找到明确的答案。
尽管我同意OAuth(真正的OpenID Connect)是更好的解决方案,但还是请使用HTTPS。
由于SSL / TLS是在发出请求之前执行的,因此将通过网络对其进行加密。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句