在 api 帖子正文中使用明确的用户名/密码而不是安全 token 来验证请求是否有任何风险？知道使用 https 请求是安全的，并且所有请求都是 POST 类型。

如果您需要为每个请求执行此操作(类似于 HTTP 基本身份验证)，那么您就会增加攻击者利用通信系统中其他漏洞(弱密码、错误证书等)的机会 - 对于 HTTP 基本弱点检查 https://security.stackexchange.com/questions/988/is-basic-auth-secure-if-done-over-https 。

此外，如果可以使用特殊用途的 token ，您应该更喜欢它，因为它们通常: