HTTPヘッダー経由でアクセストークンを送信しても安全ですか？

Question

これは最初のRESTful Webサービスであり、セキュリティの問題が心配です。アクセストークンをHTTPヘッダー経由で送信しても安全ですか？例えば：

POST /v1/i/resource HTTP/1.1 Content-Type: application/x-www-form-urlencoded Api-key: 5cac3297f0d9f46e1gh3k83881ba0980215cd71e Access_token: 080ab6bd49b138594ac9647dc929122adfb983c8 parameter1=foo&parameter2=bar

SSLを介して行われた接続。また、access tokenごとにscope属性として定義する必要があるもの

CodeART · Accepted Answer

HTTPを介してアクセストークンヘッダーを送信すると、中間者攻撃に対して脆弱になります。

HTTPSを介してアクセストークンヘッダーを送信すると、リクエストは安全な接続を介してトンネリングされるため、クライアント以外の誰もこのトークンを見ることができません。

Ashwin · Answer

SSLを使用すると、転送されるデータは暗号化されるため、HTTPヘッダーを介したアクセストークンの転送には重大な問題はありません。つまり、その要求を行った特定のクライアントとその要求に応答するサーバーのみが理解できるため、その間に第三者によるデータの理解。

その他はaccess tokenは時間ベースであるため、特定の期間の寿命があるため、将来使用される可能性はありません。