TLS – امن ترین روش برای ارسال اطلاعات احراز هویت به API چیست؟

از احراز هویت پایه استفاده نکنید، آن منسوخ شده است. هنگام استفاده از اعتبارنامه احراز هویت پایه به عنوان یک شناسه جلسه به کار می رود، بنابراین باید در هر درخواست ارسال شود. این دو حادثه بزرگ است:

  • مجوزهای ذخیره شده در حافظه پنهان مرورگر در متن ساده است که ممکن است در بعضی از سناریوها مورد سوء استفاده قرار گیرد.

  • جلسه را نمی توان متوقف کرد زیرا آن را به اعتبار کاربر متصل می کند و اعتبار هیچ مفهومی از منقضی شدن به عنوان JWT، کوکی ها و یا نوع دیگری از نشانه ها (توجه: هنگامی که می گوید منقضی شده من اشاره به رمز گشایی رمز عبور به عنوان در "نیاز به تغییر رمز عبور هر 3 ماه"، اما اعتبار به عنوان یک طرح اعتبار سنجی)

حتی اگر شما تلاش برای استفاده از احراز هویت اساسی سپس یک مرورگر کوکی را ارسال می کند که اعتبارنامه را در header مجوز حفظ خواهد کرد.

اگر شما از درخواست AJAX استفاده می کنید، توصیه من این است که با احراز هویت کوکی یا مهاجرت به JWT بمانم. توجه داشته باشید که اگر API از یک نام میزبان دیگر نامیده می شود (به عنوان مثال www.example.com یک api را در api.example.com فراخوانی می کند)، سرصفحه های مربوط به CORS برای اجازه دادن به اعتبار ها باید به درستی تنظیم شوند