【发布时间】:2014-02-17 06:46:54
【问题描述】:
我正在使用 ASP.Net WebAPI 开发 API,并使用访问令牌授权客户端。我想知道哪个来源更标准地放置访问令牌?标题、Uri 还是正文? 例如,在 Instagram API 中,客户端应将 uri 中的访问令牌作为查询字符串传递。但我认为在 Twitter API 中,请求必须包含 Authorization 标头。
如果有标准规则,请告诉我。
【问题讨论】:
-
标头更安全。
-
@RezaOwliaei 怎么样?给我一个理由!
-
对敏感数据使用 GET 是一个坏主意,原因有以下几个: 主要是 HTTP 引荐来源网址泄漏(目标页面中的外部图像可能会泄漏密码) 密码将存储在服务器日志中(这显然很糟糕) 浏览器中的历史缓存
标签: asp.net api security asp.net-web-api