El encabezado Authorization
a menudo se trata especialmente mediante proxies inversos, IDS / IPS, firewalls, cachés web, servidores web, etc. en relación con la divulgación de información. La principal preocupación aquí es que los sistemas intermedios pueden registrar o almacenar en caché los encabezados si su arquitectura es más compleja que un solo servidor web que se ejecuta a través de HTTPS.
Si solo está ejecutando algo simple como un servidor Apache o nginx sin un registro especial, entonces no consideraría que usar un encabezado alternativo sea un problema de seguridad. En una configuración de este tipo, no es diferente a utilizar Authorization
o Cookie
headers en términos de seguridad.
En general, si tiene la opción de pasar datos confidenciales en una solicitud POST en lugar de en un encabezado, hágalo. Los cuerpos POST casi nunca se registran, excepto en los escenarios de depuración. También tiene la ventaja de las indicaciones automáticas del navegador para evitar la reenvío accidental de un formulario utilizando los botones del historial de navegación (atrás, adelante), mientras que un GET con un encabezado de autenticación no activará este mecanismo.