在
api post 正文中使用清晰的用户名/密码而不是安全令牌来验证请求是否有任何风险? 知道使用 HTTPS 是安全的,并且所有请求都是 POST 类型。
如果您需要为每个请求执行此操作(类似于HTTP Basic身份验证(,那么您将增加攻击者利用通信系统中其他漏洞(弱密码,错误证书等(的机会 - 对于HTTP Basic弱点检查 https://security.stackexchange.com/questions/988/is-basic-auth-secure-if-done-over-https。
此外,如果可以使用专用令牌,您应该更喜欢它,因为它们通常:
- 具有较小的权限集
- 无需更改密码即可轻松撤销。
- 可以是单一用途的(例如,仅用于应用程序 XYZ 访问 API(