将用户名和密码传递给Flask Oauth2服务器(密码授予类型)

Question

我正在使用Flask-Oauthlib实现Flask REST API，我想知道在URL参数中传递用户名和密码可以吗？例如：

GET http://127.0.0.1:5000/api/token?client_id=CLIENT_ID&grant_type=password&username=myusername&password=hopeudontseemypass

在我的开发环境中，所有请求都以纯文本形式显示在日志中，如下所示：

127.0.0.1 - "GET /api/token?client_id=CLIENT_ID&grant_type=password&username=myusername&password=hopeudontseemypass HTTP/1.1" 200 -

有没有办法在请求头中传递base64编码的用户名/ pass？所有密码授予类型的示例都在URL参数中使用用户名和密码，所以如果服务器使用SSL，不知道这是否真的是一个问题。

Answer 1

OAuth协议规范规定必须将参数发送到令牌端点。通过接受它们作为查询参数，授权服务器违反了规范。最好使用POST，以避免凭证在日志文件中结束。