Передавать токен через параметры в конце URL-адреса это нормально?

Question

[orbit070]

Здравствуйте.
Передавать токен аутентификации через параметр в самом URL-адресе это нормально?
То есть например так: example.com/api/getNews?token=[My Token]

Вопрос не про паранойю и ответов "взломать можно все что угодно" пожалуйста не надо, просто хочу понять так делается или нет? Спасибо.

Answer 1

[Иван Шумов]

Если API то куда привычнее использовать authorization Bearer header. А так - кто-то делает, наверное, но хорошей практикой точно не является

Comments

[orbit070]

Если API то куда привычнее использовать authorization Bearer header.

Да я это тоже понимаю, но почему-то Firebase принимает токен только через строку запроса, если я правильно все понял, и это мне показалось странным. Я пробовал и в теле запроса, и authorization Bearer header - не срабатывает. Смотрел тут

UPD: немного ошибся ссылкой, поменял, там чуть ниже раздел

[orbit070]

Может что-то упускаю или не так делаю?

[Иван Шумов]

orbit070, что-то делаешь не так, явно) а url-based у них как legacy решение. Главный минус это то что ключи в таком виде логируются веб-сервером, но в случае Google за это можно не беспокоиться ибо у них жёсткие политики доступа к логам.

[orbit070]

Иван Шумов, я там ссылкой ошибся, уже поменял, ссылка которую скинул была на Oauth2 и там как раз указано, что можно так "Authorization: Bearer ", но вот чуть ниже это то что нужно мне и правильно ли я понимаю, что там только через строку запроса передавать?

[Иван Шумов]

orbit070, а, ну так это real-time API. Там так, да) им так удобнее ибо там websockets вроде потом подключается

[orbit070]

Иван Шумов, спасибо)