Est-il sûr de transmettre des jetons d'accès via des en-têtes HTTP?
Il s'agit du premier service Web RESTful et je suis préoccupé par les problèmes de sécurité. Est-il sûr de transmettre mon jeton d'accès via des en-têtes HTTP? Par exemple:
POST /v1/i/resource HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Api-key: 5cac3297f0d9f46e1gh3k83881ba0980215cd71e
Access_token: 080ab6bd49b138594ac9647dc929122adfb983c8
parameter1=foo¶meter2=bar
La connexion établie via SSL. En outre, ce qui doit être défini comme l'attribut scope pour chaque access token
Si vous deviez transmettre l'en-tête du jeton d'accès via HTTP, il serait vulnérable à l'attaque de l'homme du milieu.
Lorsque vous transmettez l'en-tête du jeton d'accès via HTTPS, personne à part le client ne pourra voir ce jeton car la demande sera tunnelisée via une connexion sécurisée.
Le transfert de jeton d'accès sur les en-têtes HTTP ne pose aucun problème grave, car les données transférées sont chiffrées lorsque SSL est utilisé, ce qui signifie qu'elles ne peuvent être comprises que par un client particulier qui a fait cette demande et par le serveur qui répond à la demande, entre les deux, il n'y a aucune chance de comprendre les données par un tiers.
Autre chose est access token sont basés sur le temps, ils ont donc une vie pour une période spécifique et n'ont donc aucune chance d'être utilisés à l'avenir.