Web API - HTTP报头中的身份验证凭据与使用SSL的正文？

Question

我在HTTP Body中发送用户名和密码，以便对Web API中的每个controller action进行身份验证。我使用用户名/密码在每个控制器中进行身份验证。它正在使用SSL。

有没有什么安全原因，为什么在HTTP Header中发送authentication credentials比在HTTP body中发送更好

如果我使用的是Basic Authentication，我可以看到像在this question中一样，在头部中包含凭证是多么的必要，但是我没有，所以我看不出有什么用处。只要使用SSL，这两种方法看起来都是一样安全的。

Answer 1

从SSL的角度来看，HTTP请求的头部(HTTP基本身份验证)和主体(例如，基于表单的登录)中的凭据的安全性是相同的。

但是，如果客户端是常规web浏览器，则应考虑以下事项：

浏览器缓存HTTP基本身份验证所使用的凭据，用户通常会面临这样的问题:为了执行注销操作，他们必须关闭浏览器。

另一方面，基于表单的登录通常会创建一个有时间限制的会话cookie，并且可以随时删除。