确定,
所以我有一个Microsoft Graph API请求,用于在One Drive上创建一个文件夹。通常我的所有请求都有标题:
"Authorization": "Bearer <token>"
指定我使用Bearer类型的令牌请求访问。
然而,一个请求似乎已经通过网络。
此请求具有以下结构:
{
Method: POST,
RequestUri: 'https://graph.microsoft.com/beta/<tenantid>/groups/<groupid>/drive/items/<folderid>/children/',
Version: 1.1,
Content: System.Net.Http.StringContent,
Headers: {
Authorization: <token>
Content-Type: application/json;charset=utf-8
}
}
你可以看到“持票人”#39;授权标题中缺少关键字。
奇怪的是这个请求是成功的,图表不需要关键字。
我的问题基本上是这样的:
为什么该请求成功,是否有任何安全考虑因素或疏忽因此成功?
谢谢,
答案 0 :(得分:0)
感谢您的反馈,伙计们!请注意,如果未提供类型,则Microsoft Graph beta 和 v1.0 API版本默认为Bearer令牌类型。这种方法没有安全风险,因为它是截至4月16日唯一受支持的令牌类型。我们的文档指出,明确提供令牌类型是最佳做法。
请注意,虽然RFC要求服务器必须支持承载,但没有说明在没有它的情况下接受令牌。
我们将考虑在下一个API版本中解决此问题。