In base a Documenti di Instagram, inviamo un token di accesso tramite una richiesta GET su HTTPS. Non è considerato insicuro? Perché ho letto che non dovresti nemmeno inviare password su una richiesta GET.
Per /media/media-id (il primo esempio):
https://api.instagram.com/v1/media/{media-id}?access_token=ACCESS-TOKEN
Come spiegato qui i dati sensibili nella parte relativa alle query sull'URL (come un token API segreto) sono principalmente un problema se l'URL è accessibile direttamente nel browser e quindi visibile nella barra degli URL, oltre che memorizzato nella cronologia del browser.
Ma le richieste API di solito vengono eseguite sullo sfondo di un'app o tramite una richiesta AJAX in background e pertanto è molto meno probabile che si verifichi una situazione in cui l'URL di richiesta dell'API viene presentato a un utente. Pertanto, i pericoli dei dati sensibili nell'URL sono trascurabili per un'API.
Si noti inoltre che su HTTPS la richiesta HTTP completa è crittografata, inclusa la parte della query. Solo il nome host ( api.instagram.com ) verrebbe esposto a un MITM come effetto collaterale di SNI.
Leggi altre domande sui tag authentication