V případě jednorázového tokenu to problém není, klidně v URL být může. Je dobré napsat, že když jednorázový není, je potřeba ho předávat přes POST, ne GET, ale tady si člověk může vybrat (což se hodí např. pokud bychom požadovali potvrzení e-mailem – odkaz odkaz s GET parametrem vložíme i do textového mailu, pro POST bychom museli posílat e-mail v HTML a s formulářem, což je dost omezující).
Názor k článku
Java na webovém serveru: autorizace a autentizace II
aura:90
Tiskni
