È sicuro trasmettere i token di accesso tramite le intestazioni HTTP?

9

È il primo servizio web RESTful e sono preoccupato per i problemi di sicurezza. È sicuro trasmettere il mio token di accesso tramite le intestazioni HTTP? Ad esempio:

POST /v1/i/resource HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Api-key: 5cac3297f0d9f46e1gh3k83881ba0980215cd71e
Access_token: 080ab6bd49b138594ac9647dc929122adfb983c8

parameter1=foo&parameter2=bar

La connessione effettuata su SSL . Inoltre, ciò che è necessario definire come l'attributo scope per ogni access token

    
posta ahmedsaber111 31.08.2013 - 10:45
fonte

3 risposte

11

Se dovessi trasmettere l'intestazione del token di accesso tramite HTTP, allora sarebbe vulnerabile all'attacco man-in-the-middle.

Quando trasmetti l'intestazione del token di accesso tramite HTTPS, quindi nessuno a parte il client sarà in grado di vedere questo token in quanto la richiesta verrà registrata tramite connessione protetta.

    
risposta data 31.08.2013 - 22:11
fonte
8

Non ci sono problemi seri nel trasferire il token di accesso su intestazioni http perché i dati trasferiti sono crittografati quando SSL è usato, significa che può essere compreso solo da un particolare client che ha fatto quella richiesta e il server che risponde alla richiesta, tra nessuna possibilità di comprendere i dati da parte di terzi.

Altra cosa è access token sono basati sul tempo, quindi hanno una vita per un periodo specifico, quindi non hanno possibilità di utilizzo in futuro.

    
risposta data 31.08.2013 - 17:32
fonte
-1

Una cosa da considerare è anche il caching.

Il tuo back-end potrebbe vedere diverse chiamate allo stesso URL, con gli stessi parametri GET / POST ma un diverso token di accesso all'intestazione e considerare che il contenuto può essere memorizzato nella cache e può essere sostituito da qualsiasi corpo.

    
risposta data 14.05.2016 - 21:15
fonte

Leggi altre domande sui tag