我正在查看Facebook API,我注意到所有令牌参数都是通过GET请求传递的,很明显,这样安全吗?
我在official doc上找到的示例:
curl -i -X GET "https://graph.facebook.com/{api-endpoint}&access_token={your-app_id}|{your-app_secret}"
curl -i -X GET "https://graph.facebook.com/{your-user-id}/accounts&access_token={user-access-token}"
如您所见,两个请求的参数都应隐藏在路径中。因此,也许应该将它们放在POST请求的正文中。
编辑:我知道通过HTTPS头和主体均被加密,但路径上的参数仍然清晰,所以问题是:为什么Facebook决定将访问令牌放在路径内?
我不好,我发现查询字符串也通过HTTPS加密