Tengo una API REST en ejecución en un contenedor Tomcat que tiene un punto final que toma una dirección de correo electrónico del cliente como un parámetro de consulta. Es algo como esto:
/[email protected]
Las direcciones de correo electrónico de los clientes son un activo que queremos proteger, por lo que debemos asegurarnos de que no se registren en ningún lugar y que no puedan interceptarse. La API solo funciona a través de HTTPS y requiere una autenticación sólida.
Cuando se trata de registro, en el código de la aplicación, las direcciones de correo electrónico no se registran. Sin embargo, todas las URL del servicio se desconectan en el localhost_access_log de Tomcat, que incluye los parámetros de consulta. Un plan es utilizar una válvula de registro de acceso de Tomcat diferente que no cierre los parámetros de consulta en las URL. ¿Sería eso suficiente para garantizar que las direcciones de correo electrónico no se desconecten? ¿Hay algún otro lugar que normalmente cierre la sesión de las URL que deben ser atendidas?