Enviando el token de acceso a través de la solicitud GET

4

De acuerdo con los Documentos de Instagram, enviamos un token de acceso a través de una solicitud GET a través de HTTPS. ¿No es esto considerado inseguro? Porque leí que ni siquiera deberías enviar contraseñas a través de una solicitud GET.

Para /media/media-id (el primer ejemplo):

https://api.instagram.com/v1/media/{media-id}?access_token=ACCESS-TOKEN
    
pregunta testinggnitset ser 02.05.2017 - 01:13
fuente

1 respuesta

7

Como se explica aquí , los datos confidenciales en la parte de consulta de la URL (como un token secreto de la API) es principalmente un problema si se accede a la URL directamente en el navegador y, por lo tanto, se puede ver en la barra de la URL y se almacena en el historial del navegador.

Pero las solicitudes de API generalmente se realizan en el fondo de una aplicación o mediante una solicitud de AJAX en segundo plano y, por lo tanto, es mucho menos probable que se encuentre en una situación en la que la URL de solicitud de API simple se presenta a un usuario. Por lo tanto, los peligros de los datos confidenciales en la URL son insignificantes para una API.

También tenga en cuenta que a través de HTTPS se encripta la solicitud HTTP completa, incluida la parte de consulta. Solo el nombre de host ( api.instagram.com ) se expondría a un MITM como efecto secundario de SNI.

    
respondido por el Arminius 02.05.2017 - 01:42
fuente

Lea otras preguntas en las etiquetas