我在PHP中创建了一个简单的REST API。客户端是使用Adobe Air编写的移动应用程序。无论何时我开发了一个API,我都使用了HTTPS和一些像X-Api-Secret这样的基本标题,这是双方同意的秘密。
但Adobe Air无法在GET请求中发送自定义标头。
由于浏览器的限制,仅提供自定义HTTP请求标头 支持POST请求,不支持GET请求。
移动应用程序是否应将密码作为GET参数发送?或者有更好的解决方案吗?
答案 0 :(得分:1)
将您的密钥作为特殊参数发送到GET请求中。由于您在POST请求中将数据作为标头发送,因此它不会使事情变得安全。大多数API都会接受GET参数(ex-trello)中的应用程序密钥。
如果您不希望其他人找到某些秘密,那么您不希望将其保存在移动应用程序中,因为有人反编译该应用程序将能够找到它。