Ok,Erfolgreicher Antrag trotz fehlenden ‚Bearer‘
So habe ich eine Anfrage an den Microsoft Graph-API, die verwendet wird, um einen Ordner auf einer Festplatte zu erstellen. Im Allgemeinen haben alle meine Anfragen die Überschrift:
"Authorization": "Bearer <token>"
Angeben, dass ich Zugriff mit einem Token des Typs Bearer anfordern.
Eine Anfrage scheint jedoch durch das Netz gerutscht zu sein.
Dieser Antrag hat die folgende Struktur:
{
Method: POST,
RequestUri: 'https://graph.microsoft.com/beta/<tenantid>/groups/<groupid>/drive/items/<folderid>/children/',
Version: 1.1,
Content: System.Net.Http.StringContent,
Headers: {
Authorization: <token>
Content-Type: application/json;charset=utf-8
}
}
Wie Sie die 'Bearer' Keyword innerhalb des Authorization-Header fehlt sehen kann.
Die seltsame Sache ist, dass diese Anfrage erfolgreich war und das Diagramm das Schlüsselwort nicht benötigt. im Wesentlichen ist
meine Frage:
Warum war dieser Antrag erfolgreich und gibt es Sicherheitsüberlegungen oder hervorgehoben Versäumnisse durch diese erfolgreich zu sein?
Danke,
Interessante finden. Es könnte einfach sein, dass 'Bearer' auf der API-Seite als Standard-Token-Typ angenommen wird. –
Das war meine Annahme auch. Wenn dies jedoch angenommen wird, bin ich etwas besorgt darüber, was sonst "angenommen" werden könnte und ob es irgendwelche Sicherheitsauswirkungen darauf gibt. Gut gemacht Microsoft :) – DaRoGa
Ich mag keine Kanten Fällen wie dies in APIs, ich bevorzuge sie die Spezifikation zu einem T zu folgen. –