Supposons que j'ai une API REST qui est également utilisée pour définir / réinitialiser les mots de passe. Supposons également que cela fonctionne sur une connexion HTTPS. Y a-t-il une bonne raison de ne pas mettre ce mot de passe dans le chemin d'appel, disons également que je vais le coder en BASE64?
Un exemple serait de réinitialiser un mot de passe comme celui-ci:
http://www.example.com/user/joe/resetpassword/OLDPASSWD/NEWPASSWD
Je comprends que BASE64 n'est pas un cryptage, mais je veux seulement protéger le mot de passe pour surfer sur l'épaule dans ce cas.
resetpassword/OLDPASSWD/NEWPASSWD
n'est pas une ressource. C'est l'invocation d'un processus. Vous n'avez pas besoin de tout ranger dans une URL.