我正在为我的应用程序构建一个 RESTful API,我想让它尽可能干净和透明。
我需要创建一个身份验证端点,构建它对我来说最有意义,以便用户可以通过以下方式进行身份验证:
GET https://example.com/
auth?identity=<username_or_email>&password=<password>
正如我所说,在查询参数中使用 HTTP GET 方法传递用户身份验证数据对我来说似乎很干净。
但我想问一下它实际上有多安全。考虑到它将通过 SSL/TLS 进行加密,您认为像这样传输用户凭据是个好主意吗?
【问题讨论】:
标签: rest http authentication query-parameters
【讨论】:
好吧,我基本上将 base64 字符串传递给服务器。 我的用户名和密码都是base64转换然后传入Authorization Header
Authorization : "Basic --Value"
我发现这是将用户名和密码传递给服务器的最简洁的方式。
另一方面,服务器有一个名为 passport 的模块。Passport 提供不同类型的授权和身份验证,例如 Basic、bearer、token 甚至您自己的自定义。
出于上述目的,我使用基本模块。
【讨论】:
Authorization 标头基本上是纯文本。只有使用 TLS 才能安全。
从安全的角度来看,将凭据作为查询参数传递还是在 Authentication 标头中传递并不重要。两者基本上都是纯文本。所以你必须使用 TLS。
从 REST 的角度来看,您的 URL 看起来像 RPC:您调用一个方法 auth,它接受两个参数 identity 和 password。这个 URL 代表的 REST 资源是什么?如果您使用相同的参数发出第二个GET 请求会发生什么?有什么反应?
【讨论】:
{"authToken": "x7kkoal1vf4uk34ikzep"}。重复发出请求应该会使之前的所有authTokens 失效,并以类似的 JSON 格式数据进行响应。