4
Ok,Успешный запрос, несмотря на отсутствие «несущей»
Итак, у меня есть запрос к API-интерфейсу Microsoft Graph, который используется для создания папки на одном диске. Как правило, все мои просьбы иметь заголовок:
"Authorization": "Bearer <token>"
уточняя, что я запрашивает доступ с помощью маркера типа Носителем.
Однако, один запрос, кажется, проскользнул через сеть.
Этот запрос имеет следующую структуру:
{
Method: POST,
RequestUri: 'https://graph.microsoft.com/beta/<tenantid>/groups/<groupid>/drive/items/<folderid>/children/',
Version: 1.1,
Content: System.Net.Http.StringContent,
Headers: {
Authorization: <token>
Content-Type: application/json;charset=utf-8
}
}
Как вы можете видеть, что ключевое слово «Несущего» в заголовке Authorization отсутствует.
Странная вещь в том, что этот запрос был успешным, и график не нуждался в ключевом слове.
Мой вопрос по существу заключается в следующем:
Почему этот запрос успешно и есть какие-либо соображения безопасности или оплошности выделенные этим быть успешным?
Спасибо,
Интересная находка. Это может быть просто то, что «Bearer» считается типом маркера по умолчанию на стороне API. –
Это было мое предположение также. Однако, если это предполагается, я немного обеспокоен тем, что еще может быть «принято», и если есть какие-либо последствия для безопасности для этого. Молодцы Microsoft :) – DaRoGa
Мне не нравятся такие кромки, как это в API, я предпочитаю, чтобы они следовали спецификации на T. –