0

我们正在开发一个 RESTful 聊天 API 和一个聊天客户端。当客户端发出“初始连接”请求时,我们返回一个带有安全密钥和用户 ID 的 json 响应。对于后续请求,客户端应发送用户 ID 和安全密钥作为请求参数。请注意,仅允许在登录用户之间进行聊天,并且某些其他组件会拦截所有请求并进行身份验证和授权。

  1. 在每个请求中发送安全密钥和用户 ID(由客户端)是否存在安全风险
  2. 如果是这样,补救措施/解决方案是什么
4

1 回答 1

2

出于多种原因,通常认为将安全凭证放在 cookie 中而不是 URL 中是一种更好的做法。一个这样的原因是 URL 可能会被基础设施的各个部分(浏览器历史记录、代理日志、Web 服务器日志文件等)记录下来,但通常不会以这种方式捕获和存储 cookie。

于 2013-08-25T16:30:37.317 回答