根据 Instagram 的文档,我们通过 HTTPS 的 GET 请求发送访问令牌。这不被认为是不安全的吗?因为我读过你甚至不应该通过 GET 请求发送密码。
对于/media/media-id(第一个示例):
https://api.instagram.com/v1/media/{media-id}?access_token=ACCESS-TOKEN
通过 GET 请求发送访问令牌
信息安全
验证
2021-08-24 11:33:35
1个回答
如此处所述,如果 URL 直接在浏览器中访问,因此 URL 查询部分中的敏感数据(例如秘密 API 令牌)主要是一个问题,因此在 URL 栏中可见并且存储在浏览器历史记录中。
但是 API 请求通常在应用程序的后台或通过后台 AJAX 请求执行,因此您不太可能遇到将纯 API 请求 URL 呈现给用户的情况。因此,对于 API,URL 中敏感数据的危险可以忽略不计。
另请注意,通过 HTTPS 对完整的 HTTP 请求进行加密,包括查询部分。api.instagram.com作为 SNI 的副作用,只有主机名 ( ) 会暴露给 MITM。