É o primeiro serviço web RESTful e estou preocupado com problemas de segurança. É seguro transmitir meu token de acesso por meio de cabeçalhos HTTP? Por exemplo:
POST /v1/i/resource HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Api-key: 5cac3297f0d9f46e1gh3k83881ba0980215cd71e
Access_token: 080ab6bd49b138594ac9647dc929122adfb983c8
parameter1=foo¶meter2=bar
A conexão feita SSL
. Além disso, o que precisa ser definido como o scope
atributo para cadaaccess token
Não há nenhum problema sério na transferência do token de acesso pelos cabeçalhos http, porque os dados transferidos são criptografados quando o SSL é usado, significa que ele só pode ser entendido por um cliente específico que fez a solicitação e pelo servidor que responde à solicitação, entre as quais não há chances de entender os dados por terceiros.
Outra coisa é que
access token
são baseados no tempo, para que eles tenham uma vida útil por um período específico, para que não tenham chances de uso no futuro.fonte
Uma coisa a considerar também é o cache.
Seu back-end pode ver várias chamadas para o mesmo URL, com os mesmos parâmetros GET / POST, mas um token de acesso ao cabeçalho diferente e considerar o conteúdo pode ser armazenado em cache e separado para qualquer corpo.
fonte