在 REST 请求的 URL 中传递敏感信息是否安全?

【问题标题】:Is it secure to pass sensitive information in the URL for REST requests?在 REST 请求的 URL 中传递敏感信息是否安全?
【发布时间】:2015-06-12 07:21:50
【问题描述】:

在 HTTPS REST GET URL 中传递敏感信息(如用户 ID 等唯一 ID)是否安全?

例如:GET https://temp.servername.com/user/userid

【问题讨论】:

  • 取决于你可以用那个 id 做什么......否则看起来没关系。
  • stackoverflow.com/questions/198462/…
  • 将敏感数据放在 URL 中通常是个坏主意,因为它很可能会存储在日志、历史记录和引荐来源网址等位置。但是用户 ID真的敏感吗?这将取决于应用程序,但通常不是。
  • 这是您将在浏览器中访问的 url(返回 html),还是 API?后者避免了一些风险(历史、推荐人、意外复制和粘贴)。但就像 bobince 说的,身份保密是相当不寻常的。它是一个有效的安全模型(基于功能),但您需要查看它是否适合您的应用程序。

标签: rest security https


【解决方案1】:

唯一资源标识符的存在对于 api 的宁静非常重要。 我不认为,在 url 中传递用户标识符是一个大问题,尤其是当您使用 https 时。如果您使用的是 uuid(防止随机猜测),那么它根本没有问题。不过,请避免使用 sql 数据库中常见的增量 id,如果您可以使用 base64 等对它们进行编码会更好。

【讨论】:

    猜你喜欢
    • 2018-03-01
    • 2013-01-24
    • 1970-01-01
    • 1970-01-01
    • 2011-03-13
    • 2017-05-20
    • 2017-08-15
    • 2012-06-19
    • 2020-01-11
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode