Czy przesyłanie tokenów dostępu za pomocą nagłówków HTTP jest bezpieczne?

Jest to pierwsza usługa internetowa RESTful i martwię się o kwestie bezpieczeństwa. Czy przesyłanie mojego tokena dostępowego za pomocą nagłówków HTTP jest bezpieczne? Na przykład:

POST /v1/i/resource HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Api-key: 5cac3297f0d9f46e1gh3k83881ba0980215cd71e
Access_token: 080ab6bd49b138594ac9647dc929122adfb983c8

parameter1=foo&parameter2=bar

Połączenie wykonane SSL. Ponadto, co należy zdefiniować jako scopeatrybut każdegoaccess token

Gdyby przesłać nagłówek tokena dostępu przez HTTP, byłby on podatny na atak man-in-the-middle.

Podczas przesyłania nagłówka tokena dostępu przez HTTPS nikt poza klientem nie będzie mógł zobaczyć tego tokena, ponieważ żądanie zostanie tunelowane przez bezpieczne połączenie.

Przenoszenie tokena dostępu przez nagłówki http nie stanowi poważnego problemu, ponieważ przesyłane dane są szyfrowane, gdy używany jest protokół SSL, co oznacza, że ​​może je zrozumieć tylko konkretny klient, który wysłał to żądanie, i serwer, który odpowiada na to żądanie, pomiędzy nimi nie ma szans na zrozumieć dane stron trzecich.

Inna sprawa jest access tokenoparta na czasie, więc mają życie przez określony czas, więc nie mają szans na wykorzystanie w przyszłości.

Należy również wziąć pod uwagę buforowanie.

Twój backend może zobaczyć kilka wywołań do tego samego adresu URL, z tymi samymi parametrami GET / POST, ale z innym tokenem dostępu do nagłówka i rozważyć, że zawartość może być buforowana i może być przechowywana w dowolnej treści.