0

我有一个公共 RESTful API,用于对接受明文形式的用户 ID 和密码的 Web 应用程序进行用户身份验证(见下文)。用户名作为路径参数在 url 路径中传递,密码是查询字符串参数。HTTP GET 来自服务器端的另一个 Web 应用程序(http 客户端请求),这个 API 是否安全?我的印象是,如果请求是从服务器到服务器的,则无法看到 URL。我主要担心有人可以使用类似 firebug 的工具查看流量并获取用户 ID 和密码。

REST 端点:

HTTP GET https://host:80/user/joebob?password=pass123
4

1 回答 1

1

肯定有人可以通过简单的网络嗅探器看到用户名和密码。如果您是 POST 请求,为什么 URL 中的参数是?它们应该像普通的 POST 一样在体内,然后至少 SSL 保护启动并且人们无法嗅探它们。另一种选择是让您查看 HTTP Basic Auth。

于 2012-05-30T21:57:19.753 回答