Нужно ли защищать тело запроса REST с помощью oAuth?

Question

Я создаю REST API и использую oAuth для авторизации.Мой вопрос заключается в том, нужно ли мне что-либо делать с телом запроса в случае запросов PUT и POST, содержащих данные?Я использую SSL, если это имеет какое-либо значение.

Мне кажется, что URL-адрес проверяется подписью oAuth, но содержимое тела может быть любым.Я не уверен, если это проблема, потому что, если URL-адрес правильно подписан, то они предоставили правильные учетные данные для вставки или обновления.Я также использую nonce для предотвращения атак повторного воспроизведения, но я хочу избежать проблем с безопасностью из-за недопонимания того, как обрабатывать тело запроса.

Answer 1

Я нашел ответ, просматривая некоторые библиотеки OAuth. Официально это не является частью спецификации, но некоторые службы и библиотеки используют "xoauth_body_signature" и "xoauth_body_signature_method" в заголовках запросов для отправки подписи содержимого тела.

По-видимому, существуют некоторые проблемы, связанные с реализацией, и обсуждения можно найти путем поиска в Google для xoauth_body_signature. Не похоже, чтобы это делали многие люди.