环回 – 隐藏请求访问令牌
我使用Loopback API时遇到安全问题。 问题是Access Token可以通过查询URL / Header访问。 我可以隐藏访问令牌,当我调用Loopback API或者是否有任何设置,我可以把身体与POSTfunction的访问令牌?
谢谢。
如果您在API中进行授权,则应始终使用HTTPS。
只是隐藏URL中的数据不会帮助您防止攻击,因为信息仍然会以明文forms发送到标头/ cookie中。
如果启用HTTPS并将HTTP查询redirect到HTTPS,则只有服务器和客户端才能看到该值,这是预期的行为。
这也将阻止login数据以明文forms发送,这总是一个坏主意。
您可以在部署中检查此文档,也可以尝试启用SSL的示例项目 。
作为GET参数发送访问令牌,而不是发送作为Authorization
标题。
标题: Authorization: $ACCESS_TOKEN
更多信息在这里