环回 – 隐藏请求访问令牌

我使用Loopback API时遇到安全问题。 问题是Access Token可以通过查询URL / Header访问。 我可以隐藏访问令牌,当我调用Loopback API或者是否有任何设置,我可以把身体与POSTfunction的访问令牌?

谢谢。

如果您在API中进行授权,则应始终使用HTTPS。

只是隐藏URL中的数据不会帮助您防止攻击,因为信息仍然会以明文forms发送到标头/ cookie中。

如果启用HTTPS并将HTTP查询redirect到HTTPS,则只有服务器和客户端才能看到该值,这是预期的行为。

这也将阻止login数据以明文forms发送,这总是一个坏主意。

您可以在部署中检查此文档,也可以尝试启用S​​SL的示例项目 。

作为GET参数发送访问令牌,而不是发送作为Authorization标题。

标题: Authorization: $ACCESS_TOKEN

更多信息在这里

    Interesting Posts

    应用程序端连接ORM的节点?

    回环asynchronous/等待UnhandledPromiseRejectionWarning问题

    使用从模型的远程方法中查找时的环回顺序filter,错误:

    TypeScript中的types问题