Безопасно ли передавать токены доступа через HTTP-заголовки?

Это первый веб-сервис RESTful, и я обеспокоен вопросами безопасности. Безопасно ли передавать мой токен доступа через HTTP-заголовки? Например:

POST /v1/i/resource HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Api-key: 5cac3297f0d9f46e1gh3k83881ba0980215cd71e
Access_token: 080ab6bd49b138594ac9647dc929122adfb983c8

parameter1=foo&parameter2=bar

Соединение установлено SSL. Кроме того, что необходимо определить как scopeатрибут для каждогоaccess token

Если бы вы передавали заголовок токена доступа через HTTP, то он был бы уязвим для атаки «человек посередине».

Когда вы передаете заголовок токена доступа через HTTPS, никто кроме клиента не сможет увидеть этот токен, так как запрос будет туннелироваться через безопасное соединение.

Нет серьезной проблемы при передаче токена доступа через заголовки http, потому что переданные данные шифруются при использовании SSL, что означает, что их может понять только конкретный клиент, который сделал этот запрос, и сервер, который отвечает на запрос, между ними нет шансов понять данные любой третьей стороной.

Другое дело, что access tokenони основаны на времени, поэтому у них есть жизнь в течение определенного периода, поэтому у них нет шансов на использование в будущем.

Также нужно учитывать кеширование.

Ваш бэкэнд мог видеть несколько обращений к одному и тому же URL с одинаковыми параметрами GET / POST, но с другим токеном доступа к заголовку и учитывать, что содержимое может быть кэшировано и доставлено в любое тело