Заголовок запроса авторизации и тело запроса POST для учетных данных

Question

Какой правильный подход для отправки учетных данных пользователя с внешнего интерфейса на внутренний сервер?Я вижу примеры, когда некоторые разработчики используют заголовки авторизации, а некоторые передают учетные данные в теле POST.

Answer 1

Учетные данные обычно отправляются в тело запроса один раз при попытке входа в систему. Вы должны получить токен взамен, несмотря на то, отправляете ли вы этот токен через заголовок HTTP, тело запроса или как параметр GET зависит от вас (или протоколавы реализуете).

Обычно рекомендуется использовать заголовок, потому что запросы GET не должны включать тело запроса, и передача токена в качестве параметра GET не всегда может быть опцией (например, из-за токенапоявляются в различных журналах).

В любом случае, я бы посоветовал вам не пытаться реализовать собственный протокол и использовать вместо него существующий стандарт.

Answer 2

Единственный безопасный способ передачи пароля на сервер - использование HTTPS / SSL.Если само соединение не зашифровано, ManInTheMiddle может изменить или удалить любой JavaScript, отправленный клиенту.Поэтому вы не можете полагаться на хэширование на стороне клиента.

Более того, всегда используйте заголовки для отправки конфиденциальных данных, таких как USER-ID, API-KEY, AUTH-TOKENS. Вы также можете обратиться к этому вопросу стека ссылка для получения дополнительной информации и этой ссылки