Передавать токен через параметры в конце URL-адреса это нормально?

Question

orbit070 @orbit070

Передавать токен через параметры в конце URL-адреса это нормально?

Здравствуйте.
Передавать токен аутентификации через параметр в самом URL-адресе это нормально?
То есть например так: example.com/api/getNews?token=[My Token]

Вопрос не про паранойю и ответов "взломать можно все что угодно" пожалуйста не надо, просто хочу понять так делается или нет? Спасибо.

Вопрос задан более трёх лет назад
1881 просмотр

Комментировать

Подписаться 1 Простой Комментировать

Решения вопроса 1

6 комментариев

orbit070 @orbit070 Автор вопроса

Если API то куда привычнее использовать authorization Bearer header.

Да я это тоже понимаю, но почему-то Firebase принимает токен только через строку запроса, если я правильно все понял, и это мне показалось странным. Я пробовал и в теле запроса, и authorization Bearer header - не срабатывает. Смотрел тут

UPD: немного ошибся ссылкой, поменял, там чуть ниже раздел

Написано более трёх лет назад
orbit070 @orbit070 Автор вопроса

Может что-то упускаю или не так делаю?

Написано более трёх лет назад
Иван Шумов @inoise

orbit070, что-то делаешь не так, явно) а url-based у них как legacy решение. Главный минус это то что ключи в таком виде логируются веб-сервером, но в случае Google за это можно не беспокоиться ибо у них жёсткие политики доступа к логам.

Написано более трёх лет назад
orbit070 @orbit070 Автор вопроса

Иван Шумов, я там ссылкой ошибся, уже поменял, ссылка которую скинул была на Oauth2 и там как раз указано, что можно так "Authorization: Bearer ", но вот чуть ниже это то что нужно мне и правильно ли я понимаю, что там только через строку запроса передавать?

Написано более трёх лет назад
Иван Шумов @inoise

orbit070, а, ну так это real-time API. Там так, да) им так удобнее ибо там websockets вроде потом подключается

Написано более трёх лет назад
orbit070 @orbit070 Автор вопроса

Иван Шумов, спасибо)

Написано более трёх лет назад