web-dev-qa-db-ja.com

HTTPヘッダー経由でアクセストークンを送信しても安全ですか?

これは最初のRESTful Webサービスであり、セキュリティの問題が心配です。アクセストークンをHTTPヘッダー経由で送信しても安全ですか?例えば:

POST /v1/i/resource HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Api-key: 5cac3297f0d9f46e1gh3k83881ba0980215cd71e
Access_token: 080ab6bd49b138594ac9647dc929122adfb983c8

parameter1=foo&parameter2=bar

SSLを介して行われた接続。また、access tokenごとにscope属性として定義する必要があるもの

11
ahmedsaber111

HTTPを介してアクセストークンヘッダーを送信すると、中間者攻撃に対して脆弱になります。

HTTPSを介してアクセストークンヘッダーを送信すると、リクエストは安全な接続を介してトンネリングされるため、クライアント以外の誰もこのトークンを見ることができません。

12
CodeART

SSLを使用すると、転送されるデータは暗号化されるため、HTTPヘッダーを介したアクセストークンの転送には重大な問題はありません。つまり、その要求を行った特定のクライアントとその要求に応答するサーバーのみが理解できるため、その間に第三者によるデータの理解。

その他はaccess tokenは時間ベースであるため、特定の期間の寿命があるため、将来使用される可能性はありません。

8
Ashwin