是否通过对RESTendpoint的https调用隐藏承载令牌
因此,我正在开发一个应用程序,其中使用访问令牌(JWT,使用Spring Security)对用户进行身份验证,令牌被加密并存储在httponly cookie(ngx-cookie)中,访问令牌的有效期为24小时,如果过期则会发出新令牌,目前我正在开发localhost并且每当我进行api调用时,承载令牌都会在网络选项卡的标头中可见。我的问题是,当应用程序处于活动状态并且通过https(SSL)时,标头和有效负载数据将仍然可见还是隐藏/加密?
目前还不熟悉编程,所以任何指导都将非常有用。
仅为失败的api调用显示承载令牌,不知道如何以及为什么
共有1个答案
TLS(传输层安全,早期的SSL)是负责处理HTTPS的协议。在OSI参考模型中,TLS协议适用于传输层(第4层),而HTTP协议是应用层(第7层)协议(标头是HTTP协议的一部分)。
注意:OSI模型是参考模型,而实际实现是IP模型,它是OSI模式的简化版本。
在通信中,来自给定层的数据在发送之前由该层下面的层封装/包装(阅读更多关于OSI参考模型的信息)。因此,当启用HTTPS时,传输层将始终使用TLS协议对HTTP数据(数据头)进行加密。因此,您的应用程序数据(包括HTTP头/正文)在通过网络发送之前将始终进行加密。因此,无需担心。
-
我必须构建一个RESTendpoint,它在内部调用一些RESTendpoint(商业机密),并进行一些定制,并给出特定于用户的响应。我在spring boot框架内使用的endpoint(商业机密),支持HTTP和https。因为我的框架默认支持HTTP协议。 下面是endpoint示例: http://localhost:8081/hadoop-calendpoint控制器/getCustom
-
问题内容: 如果HTML元素样式的属性设置为,它是否仍可单击? 当该属性设置为时,该元素甚至都不是DOM树的一部分,因此这不是问题。但是我想知道一个元素是否仍然响应鼠标事件。 问题答案: 随着它 是 仍然DOM的一部分。只是没有在视口中渲染。 至于点击元素,则 不会 触发事件。
-
问题内容: 前往游览的频道示例如下:https : //tour.golang.org/concurrency/2 通道c在求和函数中被修改,并且该函数终止后更改仍然存在。显然,c是通过引用传递的,但是没有创建指向c的指针。是否在go中通过引用隐式传递了通道? 问题答案: 从技术上讲,它们是被复制的,因为当您使用时 ,您是在堆上分配内容,因此从技术上讲,它是幕后的指针。但是指针类型没有公开,因此可
-
问题内容: 我有一个类结构,我希望可以从直接从基类派生的类访问基类中的某些方法,但不能从派生类派生的类访问这些方法。根据Java语言规范,可以在继承的方法上覆盖访问规范,以使它们更公开,但不更私有。例如,这是我需要做的要旨,但是是非法的: 有什么办法可以做到这一点? 编辑以解释我为什么要这样做: 在这种情况下,类结构是数据处理和导入结构。它读入并解析充满表格数据的文本文件,然后将它们存储在数据库中
-
我的客户机有一个GraphQL API运行在Google cloud Run上。 我已经使用了一个服务帐户进行身份验证,并访问了gcloud命令行工具。 当使用gcloud命令行时,如下所示: 我可以生成一个令牌,用于向API发出post请求。这工作,我可以成功地从邮递员,失眠和从我的nodejs应用程序的api发布请求。 这将输出一个“承载”令牌: 但是,这个承载令牌并不像上面的那样工作,并且在
-
我正在尝试调用我已被指示的API: 这需要一个授权头:承载访问令牌。 我有承载访问令牌,并尝试通过邮递员,并通过C#使用WebRequest,没有任何效果。 在Postman中,我将方法设置为GET,将授权设置为No Auth,在Headers选项卡上,我尝试添加一个标题,如下所示: 标头:“授权” 值:“我的令牌” 我也尝试过 标题:“Bearer”值:“mytoken” 也 标头:“授权” 值