LINUX.ORG.RU

История изменений

Исправление vvn_black, (текущая версия) :

А зачем тогда нужен ключ, если можно просто передавать логин/пароль в каждом запросе по http basic auth?

Если угонят логин/пароль, то получат доступ к ресурсу, если угонят сессию или токен, то получат ограниченный доступ пока сессия или токен не протухнут, а время жизни их исчисляется считанными минутами.

Ну и, чем чаще светишь (гоняешь по сети) данные, тем больше вероятность, что их упрут. Поэтому, гоняют информацию менее критичную по возможным потерям в случае компрометации.

Ну и ещё преимущество токенов, что для авторизации пользователя бекэнду совсем необязательно, к примеру, лезть в базу или обращаться к auth-серверу. Необходимые права можно инкапсулировать в сам токен - типа jwt.

Исправление vvn_black, :

А зачем тогда нужен ключ, если можно просто передавать логин/пароль в каждом запросе по http basic auth?

Если угонят логин/пароль, то получат доступ к ресурсу, если угонят сессию или токен, то получат ограниченный доступ пока сессия или токен не протухнут, а время жизни их исчисляется считанными минутами.

Ну и, чем чаще светишь (гоняешь по сети) данные, тем больше вероятность, что их упрут. Поэтому, гоняют информацию менее критичную по возможным потерям в случае компрометации.

Ну и ещё преимущество токенов, что для авторизации пользователя совсем необязательно, к примеру, лезть в базу или обращаться к auth-серверу. Необходимые права можно инкапсулировать в сам токен - типа jwt.

Исходная версия vvn_black, :

А зачем тогда нужен ключ, если можно просто передавать логин/пароль в каждом запросе по http basic auth?

Если угонят логин/пароль, то получат доступ к ресурсу, если угонят сессию или токен, то получат ограниченный доступ пока сессия или токен не протухнут, а время жизни их исчисляется считанными минутами.

Ну и, чем чаще светишь (гоняешь по сети) данные, тем больше вероятность, что их упрут. Поэтому, гоняют информацию менее критичную по возможным потерям в случае компрометации.