将用户凭据从前端发送到后端服务器的正确方法是什么?我看到一些示例,其中一些开发人员使用授权头,而另一些则在POST主体中传递凭据。
在尝试登录时,凭据通常会进入请求主体一次。您应该收到一个令牌作为回报,尽管您是通过HTTP标头、请求正文还是作为GET参数发送该令牌取决于您(或您正在实现的协议(。
使用头通常是一种很好的做法,因为GET请求不应该包括请求体,并且将令牌作为GET参数传递可能并不总是一种选择(例如,由于令牌出现在各种日志中(。
无论哪种方式,我都建议您避免尝试实现自己的协议,而是使用现有的标准。
网站向服务器传输密码的唯一安全方法是使用HTTPS/SSL。如果连接本身没有加密,ManInTheMiddle可以修改或删除发送到客户端的任何JavaScript。因此,您不能依赖客户端哈希。
此外,始终使用标头发送敏感数据,如USER-ID、API-KEY、AUTH-TOKENS你可以参考这个堆栈问题也链接了解更多信息和这个链接