我正在创建一个无头API,用于驱动Angular前端。但是我在处理用户身份验证时遇到了一些问题。
显然,API应该在SSL上运行,但是出现的问题是:我应该如何发送包含用户密码的请求:使用GET还是POST?它是一个RESTful API,因此我正在检索信息,这意味着它应该获得一个GET请求。但是通过get发送密码意味着它是URI的一部分,对吗?我知道即使是GET请求也会在HTTPS上加密,但这仍然是正确的方式吗?还是这是一种打破RESTful规则的情况,需要将数据放在正文中或其他地方(GET请求可以有正文数据吗?)。
显然,API应该在SSL上运行,但是出现的问题是:我应该如何发送包含用户密码的请求:使用GET还是POST?它是一个RESTful API,因此我正在检索信息,这意味着它应该获得一个GET请求。但是通过get发送密码意味着它是URI的一部分,对吗?我知道即使是GET请求也会在HTTPS上加密,但这仍然是正确的方式吗?还是这是一种打破RESTful规则的情况,需要将数据放在正文中或其他地方(GET请求可以有正文数据吗?)。
Authorization
头部,正如预期的那样,但我没有意识到它也是用于初始身份验证的标准做法。 - Rohit