我正在使用ASP.Net WebAPI开发API,并使用访问令牌授权客户端。我想知道哪个源更符合标准来放置访问令牌?标题,Uri还是身体? 例如,在Instagram API中,客户端应该将uri中的访问令牌作为查询字符串传递。但我认为在Twitter API中,请求必须包含Authorization标头。
如果有标准规则,请告诉我。
答案 0 :(得分:3)
API令牌等安全相关信息位于Authorization标题中。这就是它的设计目标。
将URI密钥放入URI会增加API密钥存储在日志文件中的可能性,这会使公共缓存的效率降低。