在 HTTP 标头或 HTTP 正文中将用户名/密码作为参数传递哪个更好？

Question

我正在实现一个 REST 服务器。

我将收到用户每个请求的用户名、requestid 和密码。

我有两个选择，我可以要求用户在 http body 或 http header 中传递这三个参数。

哪种实施方式更好？为什么？

提前致谢。

Answer 1

头球！

如果我理解您的问题，那么您将在每个请求中传递一些内容。这意味着如果您想支持 GET 和 HEAD 等安全请求，您只有两个选择：HTTP 标头或 URL（通常通过查询参数）。

由于它包含身份验证信息，因此应避免将其放在 URL 中。除此之外，您说它是加密的，并且附加的保护层是通过 SSL 进行的，但标头和正文同样安全/易受攻击，因此从安全角度来看没有区别。

将其放在标头中还可以将其与应用程序状态以及媒体类型解耦，这是一件好事。如果您想支持 JSON、XML 和 XHTML 表单，这对您的身份验证参数没有影响。