¿Cuál es la mejor práctica de seguridad de la aplicación web para la solicitud Obtener HTTP? [duplicar]

Supongo que hay un mecanismo de autenticación no visible en las URL de ejemplo que nos ha mostrado y que el tráfico está protegido por SSL.

La única vez que alguien puede ver la solicitud, pero no la respuesta, es en los registros del servidor. ¿Realmente los almacena de manera diferente a la forma en que administra los datos de su aplicación?

Si administra el acceso a sus registros, ya que la respuesta incluirá los detalles del cliente, intentar restringir u ocultar información en la solicitud no tiene ningún propósito útil. Los registros OTOH se almacenan en ambos extremos de la interacción; ¿Están sus usuarios mejor atendidos ocultando datos? Esto depende del servicio que está ofreciendo, su base de usuarios y la naturaleza de los dispositivos que se utilizan. Pero en la mayoría de los escenarios que puedo imaginar, para alguien que quiera observar esta información, los bits interesantes se pueden ver en otros lugares además de la consulta en la URL.

Una consideración adicional si la especificidad y el costo del procesamiento. ¿Qué sucede si tiene más de un registro con el mismo nombre y nombre? Si el costo de resolver una forma de consulta es particularmente alto, entonces puede ser una vía para un ataque de DOS.

Dado que las solicitudes GET son más propensas a ser guardadas en varios registros, se considera inseguro colocar información privada o confidencial en ellos.

Usar una identificación está perfectamente bien, ya que son datos anónimos. Si su ID de usuario no es una clave sustituta , debe crear una nueva y usarla para identificar externamente al usuario.