История изменений
Исправление vvn_black, (текущая версия) :
А зачем тогда нужен ключ, если можно просто передавать логин/пароль в каждом запросе по http basic auth?
Если угонят логин/пароль, то получат доступ к ресурсу, если угонят сессию или токен, то получат ограниченный доступ пока сессия или токен не протухнут, а время жизни их исчисляется считанными минутами.
Ну и, чем чаще светишь (гоняешь по сети) данные, тем больше вероятность, что их упрут. Поэтому, гоняют информацию менее критичную по возможным потерям в случае компрометации.
Ну и ещё преимущество токенов, что для авторизации пользователя бекэнду совсем необязательно, к примеру, лезть в базу или обращаться к auth-серверу. Необходимые права можно инкапсулировать в сам токен - типа jwt.
Исправление vvn_black, :
А зачем тогда нужен ключ, если можно просто передавать логин/пароль в каждом запросе по http basic auth?
Если угонят логин/пароль, то получат доступ к ресурсу, если угонят сессию или токен, то получат ограниченный доступ пока сессия или токен не протухнут, а время жизни их исчисляется считанными минутами.
Ну и, чем чаще светишь (гоняешь по сети) данные, тем больше вероятность, что их упрут. Поэтому, гоняют информацию менее критичную по возможным потерям в случае компрометации.
Ну и ещё преимущество токенов, что для авторизации пользователя совсем необязательно, к примеру, лезть в базу или обращаться к auth-серверу. Необходимые права можно инкапсулировать в сам токен - типа jwt.
Исходная версия vvn_black, :
А зачем тогда нужен ключ, если можно просто передавать логин/пароль в каждом запросе по http basic auth?
Если угонят логин/пароль, то получат доступ к ресурсу, если угонят сессию или токен, то получат ограниченный доступ пока сессия или токен не протухнут, а время жизни их исчисляется считанными минутами.
Ну и, чем чаще светишь (гоняешь по сети) данные, тем больше вероятность, что их упрут. Поэтому, гоняют информацию менее критичную по возможным потерям в случае компрометации.