将会话ID /密钥作为请求参数传递的安全风险

时间:2013-08-25 16:03:26

标签: java javascript security encryption cryptography

我们正在开发RESTful聊天API和聊天客户端。当客户端发出“初始连接”请求时,我们返回带有安全密钥和用户ID的json响应。对于后续请求,客户端应将用户标识和安全密钥作为请求参数发送。请注意,只有登录用户和其他组件之间才允许聊天拦截所有请求,并进行身份验证和授权。

  1. 使用每个请求发送安全密钥和用户ID(通过客户端)是否存在安全风险
  2. 如果是,那么补救措施/解决方案是什么

1 个答案:

答案 0 :(得分:2)

出于多种原因,将安全凭证放在cookie而不是URL中通常被认为是更好的做法。其中一个原因是URL可能会被基础结构的各个部分(浏览器历史记录,代理日志,Web服务器日志文件等)记录下来,但通常不会以这种方式捕获和存储Cookie。