如何保障REST获取方法？

Question

HTTP方法将像在https://www.example.com/users?id=1中那样在url上传输数据。如果我使用HTTPS，连接将是安全的，但是链接中的敏感数据仍然可以记录在服务器uppon上，处理客户端请求的链接，从而暴露一些黑客以后要获取的秘密。

OWASP建议没有在链接上存储任何内容，因为它可以记录在web服务器上。

但是REST使用GET来检索数据，就像CRUD操作中的“读取”一样。

所以问题是，，我如何才能在REST上发出安全的GET呼叫？

编辑:一个例子: OWASP说在URL地址上不包含API密钥，但是由于在GET请求上发送的所有数据都放在URL上，所以如何将API键发送到其他服务器以授权该用户的GET响应，因为我不能将它放在URL本身上？

OWASP没有解释如何实现这一点。

Answer 1

编辑:一个例子: OWASP说不包括URL地址上的API密钥，但是由于在GET请求上发送的所有数据都放在URL上，我如何将API键发送到其他服务器以授权来自该用户的GET响应，因为我不能将它放在URL本身上？

所有数据都必须在URL中指定，这是错误的。实际上，HTTP头中有很多东西！应该使用Authorization头，而不是url中的API键。