Chtěl bych protestovat proti tokenu v URL. Pokud bude na té stránce nějaký odkaz ven, musíme si dávat bacha na ně, protože mohou token získat z refereru. V tomto případě to asi vadit nebude, protože token se po použití stává asi ihned k ničemu, ale přesto si myslím, že to není dobré takto učit.
Vlákno názorů k článku
Java na webovém serveru: autorizace a autentizace II
aura:72
aura:90
5. 3. 2010 9:21
Re: Token do URL nepatří!
V případě jednorázového tokenu to problém není, klidně v URL být může. Je dobré napsat, že když jednorázový není, je potřeba ho předávat přes POST, ne GET, ale tady si člověk může vybrat (což se hodí např. pokud bychom požadovali potvrzení e-mailem – odkaz odkaz s GET parametrem vložíme i do textového mailu, pro POST bychom museli posílat e-mail v HTML a s formulářem, což je dost omezující).
aura:72
5. 3. 2010 9:22
Re: Token do URL nepatří!
Zajímavý argument, nicméně bych ho radši viděl přímo ve článku.
