Можно ли добавить имя пользователя / пароль в остальные заголовки API или в качестве параметров запроса при реализации подключения openID

Question

Можно ли добавить имя пользователя / пароль в заголовок остальных API или в качестве параметров запроса при реализации подключения openID?

Я только что закончил API остальных, который реализует поток кода авторизации open id connect, поэтому он работает нормально, когда я нажимаю на URL API, он перенаправляет меня на сервер, там я передаю имя пользователя / пароль и после проверки я получить ответ.

Я сомневаюсь, возможно ли, что я передаю имя пользователя / пароль в заголовке API остальных или в качестве параметров запроса, чтобы он не перенаправлял меня на страницу входа в систему, а непосредственно приводил меня к ответу API.

Answer 1

Отправка имени пользователя / пароля в параметр запроса не рекомендуется. Это сохраняется, даже если у вас включен HTTPS (где параметры запроса будут зашифрованы в строке). Зачем ? Пожалуйста, отметьте этот ответ, который полностью объясняет причину. Это уязвимость безопасности, поэтому не используйте этот подход.

Кроме того, в идеале OpenID Conenct не принимает учетные данные клиента из запроса на авторизацию. Поэтому использование HTTP-заголовков также не подойдет.

Но если вы используете OAuth 2.0, он обеспечивает определенный поток, который можно использовать с особыми типами клиентов. Предоставление учетных данных пароля владельца ресурса позволяет запрашивать токены из конечной точки токена на основании учетных данных конечного пользователя. Может быть, вы хотите такой подход из-за характера вашего приложения.