我是API开发的新手。目前,我在请求正文中传递我的访问/身份验证令牌。例如,
{
status:true,
token:"<thetoken>"
}
但是,当我提到API安全性时,他们使用Authorization头来传递令牌。
我的问题是,如果我在请求体中发送令牌,会发生什么或出了什么问题?
--谢谢❤ ---
首先,保护API端点是一项已解决的任务。与其发明自己的授权协议,我建议您查看现有的行业标准,如OAuth 2.0授权框架(RFC 6749(。
以下标准之所以合理,有多种原因:
- 它们广为人知,久经沙场
- 可以使用参考实现和库
- 你可以站在巨人的肩膀上,专注于你的商业逻辑
- 等等
但是,在请求体中发送访问令牌并没有错。在RFC 6750中,OAuth 2.0协议定义了所有可能的承载令牌用途,包括将令牌作为形式编码的主体参数发送。请务必仔细阅读并考虑安全因素。
长话短说:只要遵守标准,如何传递访问令牌并不重要。