当涉及到需要发送资源标识符但该标识符需要保护,因此不能作为路径参数发送的 GET 或 DELETE 操作时,行业最佳实践是什么?
例如,假设我有一个礼品卡的 API。GET: v1/giftcards/{id} 和 DELETE v1/giftcards/{id}
在路径中发送礼品卡 ID 会暴露它,所以我想知道在这些情况下 REST API 的最佳实践是什么?资源标识符是否应该作为标头发送(即使这不是元数据(?还是应该将此端点转换为 POST 请求?
请参阅 https://security.stackexchange.com/questions/144891/hiding-sensitive-data-in-uris
基本上你有三个选择:
- 使用公钥
加密ID- 将ID移动到标题中
- 将ID移入正文