在设计HTTP API时,我们有什么理由选择一种方法而不是另一种方法:
我可以看到为什么在查询中传递它有缺点:URL可以记录在客户端或服务器端。是否有类似的副作用适用于在标头或POST数据中传递令牌?我试图在2之间做出决定。
答案 0 :(得分:2)
我认为使用标头传递身份验证令牌会更好。我认为最重要的论点是你可以在浏览器中看到令牌,如果你使用HTTPS,它们也是可见的(只有有效载荷是加密的)。
那就是说,我认为您应该利用HTTP提供的现有身份验证机制/标头:
Authorization - 请参阅RFC 2617:
http://www.ietf.org/rfc/rfc2617.txt 希望这可以帮到你, 亨利