Passar variables dins de la capcelera HTTP

wakumaku

unread,

May 2, 2012, 12:07:53 PM5/2/12

to ccc...@googlegroups.com

Holes, estic fent un servidor REST que requereix una autentificació Basic i que ha de rebre una API Key entre altres paràmetres.

Per fer les proves m'he fet un petit script (JS/JQuery) que fa les crides aixi:

purl = "http://localhost:8001/usuari/info";

method = "get";

postdata = false;

$.ajax({
type: method,
url: purl,
data: postdata,
beforeSend: function (xhr) {
xhr.setRequestHeader (“Authorization”, userPass_base_64);
xhr.setRequestHeader ("X-API-KEY", api_key);
xhr.setRequestHeader ("X-USER-ID", elmeuusuari);
},
success: etc etc

Tot funciona OK, però m'agradaria saber (tot per HTTP normal):

1. és segur passar valors sensibles a les capceleres?

2. és una bona pràctica passar variables a les capceleres?

3. millor utilitzar HTTPS sempre?

PD: La comunicació serà a desde una APP iOS/Android

Gràcies i salutacions,

Jordi Baldó

unread,

May 2, 2012, 1:25:41 PM5/2/12

to ccc...@googlegroups.com, ccc...@googlegroups.com

Bona tarda

Mira a veure si pots fer servir el mètode = post en comptes de get. Així t'estalviaras haver de fer l'enviament mitjançant URL.

De totes maneres hi ha maneres d'amagar-ho. Segur què algun company del grup et podrà guiar més i millor!

Enviat des del meu iPhone

El 02/05/2012, a les 18:07, wakumaku <waku...@gmail.com> va escriure:

--
Rebeu aquest misatge pq esteu subscrits al Grup Google "CCCPHP - Consell PHP dels Països Catalans".
Per iniciar un debat, envieu un email a ccc...@googlegroups.com
Per esborrar-se del grup, envieu un email a cccphp-un...@googlegroups.com
Per a més opcions, visiteu aquest grup a http://groups-beta.google.com/group/cccphp?hl=ca

wakumaku

unread,

May 2, 2012, 1:34:39 PM5/2/12

to ccc...@googlegroups.com

Hola Jordi,

Si si, tinc mètodes GET i POST, però encara que siguin GET vull enviar d'alguna un identificador de l'usuari que l'autoritzi a rebre la informació.

Gràcies!

El miércoles, 2 de mayo de 2012 12:25:41 UTC-5, jordi escribió:

Bona tarda

Mira a veure si pots fer servir el mètode = post en comptes de get. Així t'estalviaras haver de fer l'enviament mitjançant URL.

De totes maneres hi ha maneres d'amagar-ho. Segur què algun company del grup et podrà guiar més i millor!

Enviat des del meu iPhone

El 02/05/2012, a les 18:07, wakumaku <x> va escriure:

Holes, estic fent un servidor REST que requereix una autentificació Basic i que ha de rebre una API Key entre altres paràmetres.

Per fer les proves m'he fet un petit script (JS/JQuery) que fa les crides aixi:

purl = "http://localhost:8001/usuari/info";
method = "get";
postdata = false;

$.ajax({
type: method,
url: purl,
data: postdata,
beforeSend: function (xhr) {
xhr.setRequestHeader (“Authorization”, userPass_base_64);
xhr.setRequestHeader ("X-API-KEY", api_key);
xhr.setRequestHeader ("X-USER-ID", elmeuusuari);
},
success: etc etc

Tot funciona OK, però m'agradaria saber (tot per HTTP normal):
1. és segur passar valors sensibles a les capceleres?
2. és una bona pràctica passar variables a les capceleres?
3. millor utilitzar HTTPS sempre?

PD: La comunicació serà a desde una APP iOS/Android

Gràcies i salutacions,

--
Rebeu aquest misatge pq esteu subscrits al Grup Google "CCCPHP - Consell PHP dels Països Catalans".

Per iniciar un debat, envieu un email a x
Per esborrar-se del grup, envieu un email a x

wakumaku

unread,

May 3, 2012, 11:50:41 PM5/3/12

to ccc...@googlegroups.com

Moltes gràcies per les respostes, em quedo més tranquil.

Doncs casi que la solució més fàcil serà lo del HTTPS i ja està, all in one :)

Salutacions,

El miércoles, 2 de mayo de 2012 16:50:28 UTC-5, Daniel escribió:

Bona nit,

Jo et recomanaria sempre utilitzar el protocol HTTPS, així el primer i tercer punt que comentes ja queda resolt. Sobre el segon punt, jo de moment no ho he fet mai d'aquesta manera. El que si que hauries de revisar es de no re-nombrar alguna variable ja existent.

http://en.wikipedia.org/wiki/List_of_HTTP_header_fields

Quan tinguis una mica de temps fes una lectura a aquest article, es sobre el Whatsapp i l'enviament de les dades: http://www.macgenio.com/2012/01/16/que-sabemos-de-whatsapp-y-su-retirada-del-app-store/

Salut!

Daniel Atienza López

Per iniciar un debat, envieu un email a ccc...@googlegroups.com
Per esborrar-se del grup, envieu un email a cccphp-unsubscribe@googlegroups.com

Jordi Rosell

unread,

May 26, 2012, 12:09:43 PM5/26/12

to ccc...@googlegroups.com

Facis el que facis si no utilitzes HTTPS sempre et podrien robar el id de sessió

El divendres 4 de maig de 2012 5:50:41 UTC+2, wakumaku va escriure:

wakumaku

unread,

May 28, 2012, 7:30:41 AM5/28/12

to ccc...@googlegroups.com

Gràcies Jordi, si, finalment ho estic fent tot vía HTTPS i ja quedar-me tranquil :)

Reply all

Reply to author

Forward

Message has been deleted