商业版客户端授权模式获取的TOKEN调用API时要求传Authorization: Basic client_id:client_secret

Blade 未结 1 20

客户端授权模式获取的TOKEN,调用API时要求传Authorization: Basic client_id:client_secret;

客户端授权获取TOKEN的时候使用的就是Authorization: Basic client_id:client_secret才获取到的token,然后调用接口的时候用TOKEN再加上这个,是不是一点都不安全了,帮忙看一下,谢谢。d6cfe67841bbf7a83a98efcfb22ebe35.png

1条回答
  • 按照你的想法,不管加不加authorization请求头都是不安全的。因为获取到token的值不就能直接调用了。


    如果有这个顾虑,可以按照这两个方法:

    一、https传输,这样就无法截取到参数,参数就不会泄露。

    二、你可以给这些接口再额外增加一个sign模式的认证,除了传递token,还需要进行sign的计算校验。两个合在一起使用可以极大提升安全性。具体的你可以看下之前的帖子,我们有发文档链接



    0 讨论(0)
提交回复