我想在与服务器通信时使用访问令牌来保护我的应用程序。我正在使用nginx服务器,它记录了请求中存在的所有头。这是一个安全威胁,如果我们记录头。如果有人能访问日志文件。他们可以很容易地操纵数据。那么为什么人们在header中使用token呢?
在这种情况下,我们是否可以将有效负载视为正确的选择?
放置访问令牌的最佳位置(或标准方式):标头或有效载荷?
两者的优缺点是什么?
恕我之言,这主要是一个品味问题,以及您用于测试的工具…
如果您使用精心设计的工具,它允许您设置自定义标头,标头很好,因为它不会使负载混乱。但是如果你想在一个简单的浏览器中进行测试,添加一个request参数比添加一个header更容易…
您甚至可以接受这两个,首先在头中查找,然后在有效负载中查找,如果您无法在头中找到令牌。