客户端授权模式获取的TOKEN,调用API时要求传Authorization: Basic client_id:client_secret;
客户端授权获取TOKEN的时候使用的就是Authorization: Basic client_id:client_secret才获取到的token,然后调用接口的时候用TOKEN再加上这个,是不是一点都不安全了,帮忙看一下,谢谢。
按照你的想法,不管加不加authorization请求头都是不安全的。因为获取到token的值不就能直接调用了。
如果有这个顾虑,可以按照这两个方法:
一、https传输,这样就无法截取到参数,参数就不会泄露。
二、你可以给这些接口再额外增加一个sign模式的认证,除了传递token,还需要进行sign的计算校验。两个合在一起使用可以极大提升安全性。具体的你可以看下之前的帖子,我们有发文档链接
扫一扫访问 Blade技术社区 移动端
加载中...
苏公网安备 32041102000998号