我的REST服务使用OAuth 2.0身份验证。我想使用浏览器测试一些GET URL(不使用客户端)。我可以在URL中传递持票令牌吗? 网址:www.example.com/employee/employeeId
答案 0 :(得分:1)
您可以在access_token查询参数中传递它,请参阅https://tools.ietf.org/html/rfc6750#section-2.3,但如其他答案中所述,它不是传递令牌的首选方式。它可能最终出现在日志,浏览器缓存等中。在这种方法中,规范说:
由于与URI方法相关的安全漏洞 (见第5节),包括URL的可能性很高 包含访问令牌的将被记录,它不应该被使用
除非无法在中途传输访问令牌 "授权"请求标头字段或HTTP请求实体。 资源服务器可以支持这种方法。包含此方法以记录当前使用情况;它的用途不是
建议,由于其安全缺陷(见第5节)和
还因为它使用了保留的查询参数名称,即 反对URI命名空间最佳实践,每个"体系结构 万维网,第一卷" [W3C.REC-webarch-20041215]。
因此,您还应该知道资源服务器(或API)甚至可能不支持这种令牌传递方法。必须实现的唯一方法是Authorization标头方法。
答案 1 :(得分:0)
你当然可以。
Ses facebook图API。但请注意,建议不要这样做,因为用户可能会将这些网址作为电子邮件或邮件发送。 Oauth 2.0规范写到了它。