作为查询参数的一部分的客户端id和保密

Question

在CA中，client_id和Client_secret作为查询参数的一部分传递。作为查询参数的一部分传递是安全的吗？尽管这是https，但我在互联网上的研究表明，作为查询param的一部分，传递安全信息并不是最佳实践，也不够安全。

例：https://api-oidca.example.com/auth/oauth/v2/token?grant_type=client_凭证和客户端_id=test&client_秘密=124 124ddeee 5c08-4bba-b786-2c0d9233d336

Answer 1

您如何定义“安全”？当然，发送凭据不如发送标题好，但是It.是正确的，不能使用TLS在URL中访问它们。也就是说，正如Z.所暗示的那样，它们是在URL中发送的，这意味着它们也很有可能(或者至少更有可能)被记录下来。正在记录的凭据既构成了它自己的一组风险，也暗示了其他人的可能性。

因此，要回答在URL中使用凭据是否安全的问题--真正的答案取决于您的威胁模型是什么样子。根据你所描述的，我的猜测是，这可能不是非常危险，但也可能不是很好。(不过，请注意，这只是猜测。)