トークンスタイルの認証プロセスを使用しています。クライアントがトークンを取得すると、トークンはクライアントのCookie(Webの場合)またはクライアントの要求の認証ヘッダー(モバイルの場合)に設定されます。ただし、有効なトークンを取得するには、クライアントは最初に有効なユーザー名とパスワードの組み合わせを使用して「ログイン」する必要があります。私の質問はこれです:
承認ヘッダーでユーザー名とパスワードの組み合わせを送信するか、リクエストのJSON本文のパラメーターとして送信することでセキュリティが強化されますか(HTTPSを使用していると仮定)?
トークンを取得するには、セッションごとにユーザー名とパスワードの組み合わせを「1回」送信するだけで済みます。「基本認証」スタイルで何かを得ることができますか?
AuthorizationヘッダーとJSON本文で資格情報を送信する際のセキュリティは追加されていません。Authorizationヘッダーを使用する利点は、標準化されたHTTPセマンティクスを活用し、クライアントが何をすべきかを正確に文書化する必要がないことです。あなたは単にそれらをRFCに向けることができます。
本当にRESTfulであることが心配な場合Authorizationは、独自のメソッドをロールする代わりにヘッダーを使用する必要があります。
この記事はインターネットから収集されたものであり、転載の際にはソースを示してください。
侵害の場合は、連絡してください[email protected]
コメントを追加