使用Loopback API时出现安全问题。问题是可以通过查询URL /标头访问访问令牌。我可以在调用Loopback API时隐藏访问令牌吗?或者我有什么设置可以将Access Token放入Body函数中吗?
谢谢。
答案 0 :(得分:3)
答案 1 :(得分:1)
如果您在API中进行授权,则应始终使用HTTPS。
只是隐藏URL中的数据无法帮助您防止攻击,因为信息仍然会以标题/ Cookie中的明文形式发送。
如果启用HTTPS并将HTTP查询重定向到HTTPS,则只有服务器和客户端才能看到该值,这是预期的行为。
这也会阻止登录数据以明文形式发送,这总是一个坏主意。
You can check this document on deployment或尝试this example project for enabling SSL。