我目前的任務是開發股票市場數據 API，安全性是重中之重。我能夠使用 JWT、API 密鑰、中間件身份驗證來保護傳入的 GET 請求。假設當用戶未登錄時，眾所周知，所有 http 方法（尤其是 GET）都會以 http 狀態 401 未經授權的訪問進行響應。我的問題是，當用戶登錄我們的應用程序時，現在可以成功查詢 API 請求（服務器到服務器），但是當我將請求鏈接復制到瀏覽器新選項卡（例如 chrome）時，我可以看到回復。這是預期的，因為用戶已登錄，但我希望請求響應不會在瀏覽器中看到。我們的其他競爭對手使用 POST 來對抗瀏覽器默認的 GET。我們應該轉向 POST 嗎？我很掙扎，因為 GET 是請求內容的正確 http 方法。