Misalkan saya memiliki REST API yang juga digunakan untuk mengatur / mengatur ulang kata sandi. Mari kita juga anggap ini berfungsi melalui koneksi HTTPS. Apakah ada alasan bagus untuk tidak meletakkan kata sandi itu di jalur panggilan, katakan juga saya akan menyandikannya di BASE64?
Contohnya adalah mengatur ulang kata sandi seperti ini:
http://www.example.com/user/joe/resetpassword/OLDPASSWD/NEWPASSWD
Saya mengerti BASE64 bukan enkripsi, tapi saya hanya ingin melindungi kata sandi untuk berselancar di bahu dalam kasus ini.
resetpassword/OLDPASSWD/NEWPASSWD
bukan sumber daya. Ini doa dari suatu proses. Anda tidak perlu memasukkan semuanya ke dalam URL.