È sicuro passare nome utente e password in due tag di intestazione personalizzati separati in servizi Web / applicazione Web Invia richiesta su https.
In che modo è diverso dall'utilizzo dall'intestazione dell'autorizzazione.
Quale è più sicuro e qual è la differenza tra le credenziali di passaggio nell'intestazione o nella richiesta del corpo POST?
È possibile considerare sicuro Can passare le informazioni riservate nell'intestazione personalizzata.
L'intestazione Authorization viene spesso trattata appositamente da proxy inversi, IDS / IPS, firewall, cache Web, server Web, ecc. per quanto riguarda la divulgazione di informazioni. La preoccupazione principale qui è che le intestazioni possono essere registrate o memorizzate nella cache da sistemi intermedi se la tua architettura è più complessa di un singolo server web su HTTPS.
Se stai semplicemente eseguendo qualcosa di semplice come un server Apache o nginx senza alcuna registrazione speciale, non prenderei in considerazione l'utilizzo di un'intestazione alternativa come problema di sicurezza. In tale configurazione non è diverso usare% head_de% o Authorization in termini di sicurezza.
In generale, se hai la possibilità di trasmettere dati sensibili in una richiesta POST anziché in un'intestazione, fallo. I corpi POST non vengono quasi mai registrati tranne negli scenari di debug. Hai anche il vantaggio delle richieste automatiche del browser di evitare la risommissione accidentale di un modulo utilizzando i pulsanti della cronologia di navigazione (indietro, avanti), mentre un GET con un'intestazione di autenticazione non attiverà questo meccanismo.
Se correttamente usi HTTPS, non c'è differenza tra un'intestazione personalizzata e un campo POST. La crittografia fornita da HTTPS garantirà l'intero traffico allo stesso modo per entrambi.
Ma è meglio attenersi al più usato. Un'intestazione dell'autorizzazione sarà compresa da tutti gli sviluppatori che lavorano con il tuo codice in un secondo momento e un'intestazione personalizzata richiederà del tempo. Se non si documenta abbastanza, lo sviluppatore povero dovrà leggere molto codice per capire come autenticare gli utenti. Anche avere username e password campi POST 'ed è facile da capire.
Quindi, anche se entrambi gli approcci hanno praticamente la stessa sicurezza, usa un'intestazione di autorizzazione o POST l'autenticazione.
Leggi altre domande sui tag header web-service sensitive-data-exposure