我想在与服务器通信时使用访问令牌保护我的应用程序。我正在使用nginx服务器记录请求中存在的所有标头。如果我们记录标题,这是一个安全威胁。如果有人可以访问日志文件。他们可以轻松操纵数据。那为什么人们在标题中使用令牌?
在这种情况下,我们可以将有效载荷视为正确的选择吗?
放置访问令牌的最佳位置(或标准方式)是什么:标头或有效负载?
两者的优点和缺点是什么?
答案 0 :(得分:1)
如果您使用详细说明的工具,它允许您设置自定义标头,标头很好,因为它不会使有效负载混乱。但是,如果您希望能够使用简单的浏览器进行测试,那么更容易添加请求参数而不是标题...
你甚至可以接受这两个,首先查看标题,然后在有效负载中接受,如果你在标题中找不到标记。