我正在制作一个视频上传API.android开发人员要求将授权令牌发送到正文中,而我将其作为不记名令牌发送,并且还添加了标头(授权)。但是我很困惑如何在体内发送它,这是有效的方法吗?
答案 0 :(得分:0)
取决于您的Web服务器,完整的URL可能会记录在其日志文件中。根据数据的敏感程度,您可能不希望IT人员访问所有令牌。
另外,带有查询字符串的URL将保存在用户的历史记录中,从而允许同一台计算机上的其他用户访问该URL。
最后,最不安全的是,URL在所有资源,甚至第三方资源的所有请求的Referer标头中发送。因此,例如,如果您使用Google Analytics(分析),则会将URL令牌以及所有令牌发送给Google。
我认为这是在体内发送令牌的好主意。
请您的Android开发人员在标头中发送访问令牌。