我正在尝试构建一个与另一个应用程序通信的API服务,但我对应用程序的安全性有些担忧。我希望它使用令牌身份验证,但在我阅读的所有教程中,据说为用户提供了一个哈希令牌并使用它进行请求。例如,如果我想要检索用户:
myapp.com/user/1?my_token=<TOKEN>
例如,如果它包含具有访问此路由的用户名和密码的现有用户,则会检查此令牌。但无论我在服务器上做了什么检查,如果有人知道这个令牌,他就可以从任何地方发送请求。 我看到在Google API开发人员应该将他们的API_KEY粘贴为查询变量,但他们可能还有其他一些安全检查吗?是不是就像在查询参数中将您的用户名和密码作为纯文本一样?在没有中间人攻击的情况下对用户进行身份验证的最佳方法是什么?