我正在尝试利用名为EventBrite的在线注册系统的API。我特别想知道user_new方法。以下是此方法的请求URL的示例:
https://www.eventbrite.com/xml/user_new?email=user@eventbrite.com&passwd=xxxxx
其中user@eventbrite.com是电子邮件,xxxxx是密码。这个方法将从ASP.NET应用程序调用,但我不禁质疑这个的安全性......我只是将某人的电子邮件和密码作为文本传递给URL?有人可以帮助我了解这些信息的安全级别,以及如何使其安全吗?
有关该方法的更多信息:http://developer.eventbrite.com/doc/users/user_new/
答案 0 :(得分:2)
我认为你有点担心,不是因为Marc在评论中指出的拦截,而是因为服务器日志会记录你的URL(带密码)。请参阅此处的讨论Are querystring parameters secure in HTTPS (HTTP + SSL)?
答案 1 :(得分:1)
我在Eventbrite的API团队工作,希望我能在这里帮助你。
如另一个答案所述,服务器日志是此处的主要漏洞点。虽然我们采取适当的措施来控制安全性 - 我们确实为您提供了更好的潜在选择(而不是支持/ user_new方法)。
我们首选的身份验证方法是OAuth(http://developer.eventbrite.com/doc/authentication/oauth2/),当您通过此流程向用户发送邮件时,在Eventbrite上没有现有帐户的用户可以选择在此流程中注册。
我希望这能帮助你完成你的目标任务。
干杯!