나는 webapp를위한 RESTful API를 만들고있다.put 또는 delete (vs post)를 사용하여 로그인 자격 증명을 보내는 것이 안전합니까?
일부 모바일 브라우저는 사용자가 브라우저를 종료 한 후 클라이언트 측 쿠키를 제거하기 때문에 local.storage를 사용하여 사용자의 키를 저장하고 API를 통해 사용자를 인증 할 수 있습니다.
키가 길고 자주 변경되며 모든 통신이 https를 통해 이루어지면 put 또는 delete를 사용하여 키를 보내는 것이 안전합니까? 필자는 get을 사용하면 악의적 인 사용자가 사용자의 계정에 액세스하는 데 사용할 수있는 브라우저 기록에 키가 남을 수 있다는 것을 이해합니다. 대조적으로 포스트는 훨씬 안전합니다. 어때?