Отправить маркер доступа без использования параметра в URL

Question

Я занимаюсь разработкой API с использованием Codeigniter и Oauth2 (библиотека Alex Bilbies).API используется моим приложением для iPhone.Для каждого запроса мне нужно отправить токен доступа в качестве параметра в URL.Есть ли способ отправить токен в заголовке?Чтобы избежать его "разоблачения"?

Благодарен за все комментарии!

Answer 1

Маркеры-носители OAuth 2.0 позволяют вставлять их в заголовок HTTP-авторизации следующим образом:

POST /my/api HTTP/1.1
Host: rs.company.com
Authorization: Bearer abcdef123456

Где abcdef123456 - ваш токен доступа (см .: http://tools.ietf.org/html/draft-ietf-oauth-v2-bearer-16#section-2.1). Фактически в спецификации говорится, что выСЛЕДУЕТ делать это вместо параметров запроса, если это возможно.

В спецификации также описываются многие соображения безопасности при использовании токенов-носителей OAuth 2.0 (см .: http://tools.ietf.org/html/draft-ietf-oauth-v2-bearer-16#section-4)

Answer 2

Отправка токена доступа через GET так же небезопасна, как отправка его в заголовке.

OAuth 1 используется для обхода этого с помощью всех видов шифрования, защищенных паролей, черт возьми, вы даже можете включить сертификаты.Это была огромная болячка, поэтому теперь в OAuth 2 вам просто нужно использовать HTTPS, который делает все это за вас.