HTTP শিরোলেখগুলির মাধ্যমে অ্যাক্সেস টোকেনগুলি প্রেরণ করা কি নিরাপদ?

এটি প্রথম RESTful ওয়েব পরিষেবা এবং আমি সুরক্ষা সংক্রান্ত সমস্যা নিয়ে উদ্বিগ্ন। আমার অ্যাক্সেস টোকেনটি এইচটিটিপি শিরোনামের মাধ্যমে প্রেরণ করা কি নিরাপদ? উদাহরণ স্বরূপ:

POST /v1/i/resource HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Api-key: 5cac3297f0d9f46e1gh3k83881ba0980215cd71e
Access_token: 080ab6bd49b138594ac9647dc929122adfb983c8

parameter1=foo&parameter2=bar

সংযোগটি শেষ হয়েছে SSL। এছাড়াও, scopeপ্রত্যেকের জন্য বৈশিষ্ট্য হিসাবে কী সংজ্ঞা দেওয়া দরকার needaccess token

আপনি যদি এইচটিটিপি-র মাধ্যমে অ্যাক্সেস টোকেন শিরোনাম প্রেরণ করতে চান তবে এটি মধ্য-আক্রমণে ম্যান-ইন-এর আক্রমণে ঝুঁকিপূর্ণ হবে।

আপনি যখন এইচটিটিপিএসের মাধ্যমে অ্যাক্সেস টোকেন শিরোনাম প্রেরণ করেন, তখন ক্লায়েন্ট ব্যতীত অন্য কেউ এই টোকেনটি দেখতে পাবেন না কারণ অনুরোধটি সুরক্ষিত সংযোগের মাধ্যমে সুড়ঙ্গ করা হবে।

HTTP শিরোনামগুলির মাধ্যমে অ্যাক্সেস টোকেন স্থানান্তরিত করার ক্ষেত্রে কোনও গুরুতর সমস্যা নেই কারণ এসএসএল ব্যবহার করার সময় স্থানান্তরিত ডেটা এনক্রিপ্ট করা হয়, এর অর্থ এটি কেবলমাত্র নির্দিষ্ট ক্লায়েন্টের দ্বারা বোঝা যায় যা অনুরোধটির জন্য প্রতিক্রিয়া জানায় এবং সেই সার্ভারের মধ্যে কোনও সম্ভাবনা নেই between কোনও তৃতীয় পক্ষের দ্বারা ডেটা বুঝতে।

অন্যান্য জিনিস access tokenসময়ভিত্তিক তাই তাদের একটি নির্দিষ্ট সময়ের জন্য জীবন থাকে যাতে ভবিষ্যতে তাদের ব্যবহারের কোনও সম্ভাবনা থাকে না।

বিবেচনা করার মতো বিষয় হ'ল ক্যাশে।

আপনার ব্যাকএন্ড একই জিইটি / পোষ্ট প্যারামিটারগুলির সাথে একই ইউআরএলটিতে বেশ কয়েকটি কল দেখতে পেল তবে ভিন্ন শিরোনামের অ্যাক্সেস টোকেন এবং বিষয়বস্তু বিবেচনা করে ক্যাশে করা যেতে পারে এবং কোনও শরীরে বিচ্ছিন্ন হতে পারে।