Почему мы передаем токен аутентификации в заголовке?
У меня есть собственная концепция входа в систему на ларавель. теперь я хочу сделать это сторонним решением для входа в систему. Так что я должен понять многие вещи. Так что, пожалуйста, скажи мне
Почему мы всегда передаем Токен аутентификации на заголовок метода Получать и Сообщение?
почему не по прямому URL (строка запроса)?
что такое преимущество и недостаток этого?
Ответы 2
Передача параметров в URL-адрес подвержена риску. Представьте, если вы находитесь за пределами брандмауэра/прокси-сервера, который регистрирует трафик, злоумышленник может захватить токен и сделать то, что он хочет.
См. также этот пост переполнения стека
В дополнение к ответу Макса см. эту статью OWASP, в которой упоминаются некоторые подробности, почему размещение конфиденциальной информации в параметрах запроса не является хорошей идеей:
https://www.owasp.org/index.php/Information_exposure_through_query_strings_in_url
Что касается вашего вопроса, почему вам лучше разместить эту информацию в шапке, соотв. в чем недостаток (или лучше: угроза) включения его в URL:
This allows attackers to obtain sensitive data such as usernames, passwords, tokens (authX), database details, and any other potentially sensitive data. Simply using HTTPS does not resolve this vulnerability.