Invio del token di accesso tramite la richiesta GET

4

In base a Documenti di Instagram, inviamo un token di accesso tramite una richiesta GET su HTTPS. Non è considerato insicuro? Perché ho letto che non dovresti nemmeno inviare password su una richiesta GET.

Per /media/media-id (il primo esempio):

https://api.instagram.com/v1/media/{media-id}?access_token=ACCESS-TOKEN
    
posta testinggnitset ser 02.05.2017 - 01:13
fonte

1 risposta

7

Come spiegato qui i dati sensibili nella parte relativa alle query sull'URL (come un token API segreto) sono principalmente un problema se l'URL è accessibile direttamente nel browser e quindi visibile nella barra degli URL, oltre che memorizzato nella cronologia del browser.

Ma le richieste API di solito vengono eseguite sullo sfondo di un'app o tramite una richiesta AJAX in background e pertanto è molto meno probabile che si verifichi una situazione in cui l'URL di richiesta dell'API viene presentato a un utente. Pertanto, i pericoli dei dati sensibili nell'URL sono trascurabili per un'API.

Si noti inoltre che su HTTPS la richiesta HTTP completa è crittografata, inclusa la parte della query. Solo il nome host ( api.instagram.com ) verrebbe esposto a un MITM come effetto collaterale di SNI.

    
risposta data 02.05.2017 - 01:42
fonte

Leggi altre domande sui tag