问题描述
从安全的角度来看,是否可以通过GET请求中的查询字符串传递两因素代码?
假设我有一个要获取的受保护资源。该用户已登录并启用了2FA。由于我只想获取资源,因此我将使用HTTP GET方法。
但是,由于规范“不允许” GET请求的请求主体,我如何安全地传递来自Google Authenticator或类似产品的2FA令牌?将URL中的6位代码作为查询字符串传递是否安全?
GET https://example.com/api/my-resource?code=123456
还是仅出于2FA的原因就必须将端点更改为POST?
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)