REST APIを呼び出すたびに、クライアントにユーザーの認証を行うユーザーのFacebookブックアクセストークンを渡す必要があります。このトークンを渡すためのベストプラクティスは何ですか?多分クライアントはどのようにしてサーバーにFacebookのアクセストークンを渡すべきですか?
HTTPの疑問符リクエストのヘッダでGET /api/users/123/profile?access_token=pq8pgHWX95bLZCML
か何とか後ろのパラメータとして多分
、同様にHTTP基本認証に
- 第三の選択肢? (私はトークンが同様
GET
の呼び出しに渡されるしたいので、JSONが収まらないので、私は私が思うに、JSONでそれを渡して除外している)
はい、私はとにかくHTTPSを使用しています。オプション(i)と(ii)も私にとっては大丈夫だと思うが、オプション(iii)には向かない。 (ii)では、* Basic *という単語を含めるべきですか、そこにトークンが必要であることを示してください。 –
一般的な考え方は、トークンタイプを含めることです。ベアラトークンタイプを使用している場合は、「認可:ベアラー」を使用できます。これにより、アプリがクライアントのクレデンシャルを検索しないようになります。 –
divyanshm
クエリ文字列にアクセストークンを渡すことはお勧めできません。 HTTPSはまだクエリ文字列パラメータを含むURLをクリアテキストで要求します。ヘッダーと本文のみが暗号化されています。 –