Прежде всего, защита конечных точек API - это решаемая задача.Вместо того, чтобы придумывать собственный протокол авторизации, я предлагаю вам взглянуть на уже существующие отраслевые стандарты, такие как OAuth 2.0 Authorization Framework ( RFC 6749 ).
Следование стандартам имеет смысл по нескольким причинам.:
- они широко известны и проверены в боевых условиях
- доступны эталонные реализации и библиотеки
- Вы можете стоять на плечах гигантов и сосредоточиться на своей бизнес-логике
- и т. Д.
Однако в отправке токена доступа в теле запроса нет ничего плохого.В RFC 6750 протокол OAuth 2.0 определяет все возможные варианты использования токенов канала-носителя, включая отправку токена в виде параметра тела с кодированной формой .Обязательно прочитайте внимательно и примите во внимание соображения безопасности.
Короче говоря: на самом деле не имеет значения, как вы передаете токен доступа, если вы следуете стандартам.