我正在构建一个包含两个方面的应用程序:客户端(iPhone)和服务器(PHP)。使用https进行通信。手机获得4SQ访问令牌。然后,它将该令牌发送到服务器,服务器将使用它进行4SQ API调用。我的问题是关于如何发送此令牌。
我的想法是在HTTP身份验证请求的标头中包含令牌,但在阅读了基本/摘要身份验证后,我怀疑它不是这样做的方式。实际上,使用请求参数
完成对4SQ API的调用组oauth_token = ACCESS_TOKEN
而不是将令牌放在身份验证标头或任何其他位置。我确信这是有充分理由的,但我找不到它。
然后,哪个选项最好?
非常感谢提前和最好的问候
答案 0 :(得分:1)
我认为最安全合理的方式是HTTPS POST。当令牌是HTTPS请求中的查询字符串的一部分时,它也被加密。但它会在服务器日志中显示明文,或者,当使用浏览器时,它也可能出现在浏览器历史记录中。根据HTTP帮助程序库,它还可以记录HTTPS URL,例如,当请求失败时。
在我看来,在Authentication头中发送令牌会很奇怪,因为它不用于服务器和客户端之间的身份验证。