Отправка паролей через запрос GET

Question

У меня есть приложение, которое требует, чтобы пользователи вводили пароли базы данных.Эти пароли не будут сохранены на сервере, и серверу не нужно ничего запоминать о базе данных после запроса.Если я так понимаю, большинство веб-серверов будут регистрировать запросы на получение, и браузер также может (это делает это даже для запросов fetch ()?).Я не хочу подвергать базы данных риску, но я также понимаю, что вам не следует использовать тело в запросах GET.

Я также не создаю ресурсы, поэтому из того, что я понимаю, я не должен использоватьзапрос POST.Существует ли безопасный способ отправить запрос на получение с паролем (через https), который гарантирует, что он не зарегистрирован на сервере?Это может быть приложение, которое может запустить любой пользователь - поэтому я понятия не имею, какой может быть конфигурация их сервера, поэтому я не мог специально отключить его на одном сервере, чтобы игнорировать его.

Answer 1

Если клиентом для вашего приложения будет браузер, вы можете просто использовать cookie-файлы только для https для управления процессом аутентификации.Если вы хотите расширить или использовать его в любом другом типе клиента, вы можете использовать HTTP-заголовок Authorization .

Answer 2

поэтому, насколько я понимаю, мне не следует использовать запрос POST.

Ваше понимание неверно.POST - подходящий глагол, если ни один из других глаголов не имеет смысла.Начиная с спецификации :

Метод POST запрашивает, чтобы целевой ресурс обработал представление, заключенное в запросе, в соответствии с собственной определенной семантикой ресурса.

Проще говоря, это означает, что POST делает то, что говорит служба.Это не безопасный , идемпотентный или кешируемый , поэтому существуют недостатки в том, чтобы просто использовать его для всего, но цель состоит в том, чтобы он былвсе глаголы.

Вы не должны использовать GET, потому что, как вы упомянули, вы не должны включать тело, а URL-адреса часто регистрируются, что может раскрыть ваши учетные данные.