我在 laravel 上有自己的登录概念。现在,我要使其成为第三方登录解决方案。所以我必须了解很多事情。所以请告诉我
为什么我们总是在获取和发布方法的标头上传递身份验证令牌?
为什么不使用直接网址(查询字符串)?
这是什么优势和劣势?
答案 0 :(得分:1)
将参数传递给url会有风险。 想象一下,如果您超出了记录流量的防火墙/代理的范围,攻击者就可以获取令牌并获得所需的令牌。
另请参阅此stackoverflow post
答案 1 :(得分:0)
除了Max的答案外,请参阅此OWASP文章,其中提到了一些更多细节,为什么将敏感信息放入查询参数中并不是一个好主意:
https://www.owasp.org/index.php/Information_exposure_through_query_strings_in_url
关于您的问题,为什么最好将此信息放在标题中,分别。将其放入URL的不利之处(或更优:威胁)是:
这使攻击者可以获得敏感数据,例如用户名,密码,令牌(authX),数据库详细信息以及任何其他潜在的敏感数据。仅仅使用HTTPS不能解决此漏洞。