对于Restful API中的POST请求,我希望记录来自特定用户的请求,以进行审计。我知道这些情况下的用户是谁,所以我可以要求他们在请求中包含他们的电子邮件地址。由于这实际上是请求的元数据,From请求标头似乎是要求发送电子邮件的自然位置。然而,我不记得有谁真正使用过这个标题。
对于其他开发人员来说,看到From标头在现代应用程序中使用会感到奇怪吗?
RFC 7231
From标头字段很少由非机器人用户代理发送。未经用户明确配置,用户代理不应发送From标头字段,因为这可能与用户的隐私利益或其网站的安全策略相冲突。
服务器不应使用From标头字段进行访问控制或身份验证,因为大多数收件人会认为字段值是公共信息。
我的解释是,From标头是为了让客户端自愿提供信息,而不是为了让服务器需要它。对于您控制客户端的情况,使用标头是可以的,但前提是您的意图是";出于审计目的记录来自某些用户的请求";我希望Authorization标头更合适。