Después de iniciar sesión en la aplicación, ¿por qué se debe usar "token de acceso" en lugar de simplemente usar "nombre de usuario" para llamar a otras API? ¿Cómo es más seguro con el token de acceso?
Después de iniciar sesión en la aplicación, ¿por qué se debe usar "token de acceso" en lugar de simplemente usar "nombre de usuario" para llamar a otras API? ¿Cómo es más seguro con el token de acceso?
Supongamos que ha iniciado sesión en la aplicación A y desea llamar a una API de la aplicación B.
La aplicación B, en general, no sabe qué usuarios han iniciado sesión.
Si se llamó a esa API utilizando user_name
, se podría generar una solicitud que simula ser otro usuario, sin que se haya iniciado sesión en la aplicación A.
El token de acceso resuelve este problema.
Además, los tokens de acceso pueden caducar, lo que significa que incluso los usuarios autorizados solo pueden acceder a esa API, por ejemplo, de 9 a 17. Los esquemas que solo usan user_name
no son tan flexibles.
Lea otras preguntas en las etiquetas user-names session-management