调用New_user电子邮件和密码调用的 API 方法.这安全吗?
本文关键字:调用 方法 安全 API 密码 New user 电子邮件 | 更新日期: 2023-09-27 18:37:08
我正在尝试利用一个名为EventBrite的在线注册系统的API。 我特别想知道user_new方法。 以下是此方法的请求 URL 的示例:
https://www.eventbrite.com/xml/user_new?email=user@eventbrite.com&passwd=xxxxx
其中 user@eventbrite.com 是电子邮件,xxxxx 是密码。 此方法将从 ASP.NET 应用程序调用,但我忍不住质疑它的安全性......我只是将某人的电子邮件和密码作为URL中的文本传递? 有人可以帮助我了解给定此信息的安全级别,以及如何使其安全吗?
有关该方法的更多信息:http://developer.eventbrite.com/doc/users/user_new/
我认为您有点担心是对的,不是因为 Marc 在评论中指出的拦截,而可能只是因为服务器日志会记录您的 URL(带密码)。 请参阅此处的讨论 查询字符串参数在 HTTPS (HTTP + SSL) 中是否安全?
我在Eventbrite的API团队工作,所以希望我能在这里帮助你。
如另一个答案所述,服务器日志是这里的主要漏洞点。虽然我们采取了适当的措施来控制安全性 - 但我们确实为您提供了更好的潜在选择(而不是受支持的/user_new 方法)。
我们首选的身份验证方法是 OAuth (http://developer.eventbrite.com/doc/authentication/oauth2/),当您通过此流程发送用户时,在 Eventbrite 上没有现有帐户的用户可以选择在此流程期间注册。
我希望这将帮助您完成目标任务。
干杯!