CodeigniterとOauth2(Alex Bilbiesライブラリ)を使用してAPIを開発しています。 APIがiPhoneアプリで使用されています。リクエストごとに、アクセストークンをURLのパラメータとして送信する必要があります。代わりにヘッダーにトークンを送信する方法はありますか?それが "露出"するのを避けるには?URLにパラメータを使用せずにアクセストークンを送信する
すべての入力をいただきありがとうございます!
GET経由でアクセストークンを送信することは、ヘッダーで送信することと同じように安全ではありません。
OAuth 1は、あらゆる種類の暗号化、セキュリティ保護されたパスワードでこれを回避するために使用されました。これはすべて大惨事だったので、今はOAuth 2ではHTTPSを使用するだけですべてのことができます。
OAuth 2.0のベアラトークンは次のようにHTTPのAuthorizationヘッダにそれらを挿入することができます:
ABCDEF123456はあなたのアクセストークン(参照: http://tools.ietf.org/html/draft-ietf-oauth-v2-bearer-16#section-2.1)であるPOST /my/api HTTP/1.1
Host: rs.company.com
Authorization: Bearer abcdef123456
。実際、仕様では、可能であれば、リクエストパラメータの代わりにそのようにしなければならないと言います。
OAuth 2.0のベアラトークンを使用しているときにも、多くのセキュリティ上の考慮事項について説明スペックが(参照:http://tools.ietf.org/html/draft-ietf-oauth-v2-bearer-16#section-4)を
はhttp://tools.ietf.org/html/draft-ietf-oauth-v2-bearerで最後のポイントを参照してください。 -16#section-4.3 – gihanchanuka