我们正在开发RESTful聊天API和聊天客户端。当客户端发出“初始连接”请求时,我们返回带有安全密钥和用户ID的json响应。对于后续请求,客户端应将用户标识和安全密钥作为请求参数发送。请注意,只有登录用户和其他组件之间才允许聊天拦截所有请求,并进行身份验证和授权。
答案 0 :(得分:2)
出于多种原因,将安全凭证放在cookie而不是URL中通常被认为是更好的做法。其中一个原因是URL可能会被基础结构的各个部分(浏览器历史记录,代理日志,Web服务器日志文件等)记录下来,但通常不会以这种方式捕获和存储Cookie。