Как REST API поддерживает авторизацию на стороне клиента?

Question

Предположим, у меня есть служба API с конечной точкой abc.com/api.Теперь у клиента есть CLIENT_ID, который включен в URL (например, abc.com/api/name=Hello&CLIENT_ID=xxx), используемый для авторизации клиента на стороне сервера.После авторизации API отправляет ответ обратно.Но может также случиться так, что этот конкретный URL перехватывается между ними, что выставляет CLIENT_ID.Мой вопрос заключается в том, как Rest API гарантирует, что клиент авторизован, и отправляет ответ только авторизованному клиенту, то есть мне.Спасибо заранее.

Answer 1

Если вы используете HTTPS, ваши запросы в основном защищены от «перехвата» или атаки «человек посередине», поскольку данные будут зашифрованы.Однако маркеры авторизации обычно не включаются в параметры запроса, поскольку URL-адреса регистрируются в разных местах на стороне клиента и сервера, что снижает уровень безопасности.Вместо этого данные авторизации обычно включаются в заголовки HTTP (часто в виде файлов cookie).