在HTTP身份验证标头中传递Foursquare标记。可能吗?

时间:2012-04-26 14:10:52

标签: authentication foursquare

我正在构建一个包含两个方面的应用程序:客户端(iPhone)和服务器(PHP)。使用https进行通信。手机获得4SQ访问令牌。然后,它将该令牌发送到服务器,服务器将使用它进行4SQ API调用。我的问题是关于如何发送此令牌。

我的想法是在HTTP身份验证请求的标头中包含令牌,但在阅读了基本/摘要身份验证后,我怀疑它不是这样做的方式。实际上,使用请求参数

完成对4SQ API的调用
  

组oauth_token = ACCESS_TOKEN

而不是将令牌放在身份验证标头或任何其他位置。我确信这是有充分理由的,但我找不到它。

然后,哪个选项最好?

  • 手机将令牌作为请求参数发送到PHP服务器,如4SQ
  • 手机在身份验证标题中将令牌发送到PHP服务器(认证是哪种?)
  • 任何其他方式

非常感谢提前和最好的问候

1 个答案:

答案 0 :(得分:1)

我认为最安全合理的方式是HTTPS POST。当令牌是HTTPS请求中的查询字符串的一部分时,它也被加密。但它会在服务器日志中显示明文,或者,当使用浏览器时,它也可能出现在浏览器历史记录中。根据HTTP帮助程序库,它还可以记录HTTPS URL,例如,当请求失败时。

在我看来,在Authentication头中发送令牌会很奇怪,因为它不用于服务器和客户端之间的身份验证。