0

ユーザー ID とパスワードをクリア テキストで受け入れる Web アプリケーションのユーザー認証に使用されるパブリック RESTful API があります (以下を参照)。ユーザー名は URL パスでパス パラメーターとして渡され、パスワードはクエリ文字列パラメーターです。HTTP GET はサーバー側の別の Web アプリケーション (http クライアント要求) からのものですが、この API は安全ですか? リクエストがサーバーからサーバーへ送信される場合、URL が表示されないという印象を受けました。私の主な懸念は、誰かが firebug のようなものを使用してトラフィックを確認し、ユーザー ID とパスワードを取得できることです。

REST エンドポイント:

HTTP GET https://host:80/user/joebob?password=pass123
4

1 に答える 1

1

単純なネットワーク スニファを使用して、誰かがユーザー名とパスワードを確認できることは間違いありません。リクエストを POST している場合、URL にパラメーターが含まれているのはなぜですか? それらは通常の POST のように本体にある必要があり、少なくとも SSL 保護が有効になり、人々はそれらを盗聴できなくなります。別のオプションは、HTTP 基本認証を確認することです。

于 2012-05-30T21:57:19.753 に答える