Dopo aver effettuato l'accesso all'applicazione, perché utilizzare "token di accesso" anziché utilizzare semplicemente "nome utente", per chiamare ulteriori API? In che modo è più sicuro con il token di accesso?
Dopo aver effettuato l'accesso all'applicazione, perché utilizzare "token di accesso" anziché utilizzare semplicemente "nome utente", per chiamare ulteriori API? In che modo è più sicuro con il token di accesso?
Supponiamo che tu abbia effettuato l'accesso all'applicazione A e che tu voglia chiamare un'API dell'applicazione B.
L'applicazione B, in generale, non sa quali utenti hanno effettuato l'accesso.
Se quell'API è stata chiamata utilizzando user_name
, è possibile generare una richiesta che finge di essere un altro utente, senza dimostrare di essere connesso all'applicazione A.
Il token di accesso risolve questo problema.
Inoltre, i token di accesso possono scadere, il che significa che anche gli utenti autorizzati possono accedere a tale API, ad esempio, da 9 a 17. Le combinazioni che utilizzano solo user_name
non sono così flessibili.
Leggi altre domande sui tag user-names session-management