⌘Ctrlk

Можно ли авторизоваться через get запрос?

Технически авторизация через GET-запрос возможна, но это крайне небезопасная практика и почти не используется в современных приложениях.

1️⃣ Как это может выглядеть

Данные для авторизации передаются в URL:

GET /login?username=admin&password=123456 HTTP/1.1
Host: example.com

2️⃣ Почему это плохо

Пароли видны в URL

URL может сохраняться в истории браузера, логах сервера, прокси, аналитике.

Легко перехватить

Даже при HTTPS URL может появиться в логах, а это раскрывает конфиденциальные данные.

Ограничения длины URL

GET-запросы имеют ограничение на длину URL (обычно ~2000 символов).

Идемпотентность

GET должен быть безопасным и не изменять состояние сервера, а авторизация — изменение состояния сессии, что нарушает принцип.

3️⃣ Практически

Авторизация почти всегда делается через POST-запрос с телом, где данные пользователя передаются в безопасном формате (JSON, form-data).
Иногда используют HTTP-заголовки (например, Authorization: Bearer token) вместо передачи в URL.

PreviousЕсть ли тело у get запроса?NextМожно ли удалить ресурс через post запрос?

Last updated 4 months ago