使用 Rest API 正确行为的身份验证
Authentication using Rest API Correct Behaviour
我正在构建REST API,但我处于login的困境中。一旦我已经 loggedIn 并且在我 SignOut.
之前,后续 login 请求应该发生什么
所以为了简化我这样做:
第一个 Login 请求 - 响应有一个 auth_token
第 2 个 Login 注销前请求 - 响应应该是什么?
应该是相同的auth_token还是应该生成一个新的auth_token?
REST 应该是无状态的,没有 "login" 或 "logout",至少没有服务器跟踪的。因此,实际上什么都不应该发生,user/client 应该总是 对每个请求进行身份验证。
这当然并不意味着您不能缓存凭据,但是通信应该是无状态的。
如果你做的是基于HTTP的认证,其实你不用担心这个,客户端总是会自动发送认证信息。
我正在构建REST API,但我处于login的困境中。一旦我已经 loggedIn 并且在我 SignOut.
login 请求应该发生什么
所以为了简化我这样做:
第一个
Login请求 - 响应有一个auth_token第 2 个
Login注销前请求 - 响应应该是什么?
应该是相同的auth_token还是应该生成一个新的auth_token?
REST 应该是无状态的,没有 "login" 或 "logout",至少没有服务器跟踪的。因此,实际上什么都不应该发生,user/client 应该总是 对每个请求进行身份验证。
这当然并不意味着您不能缓存凭据,但是通信应该是无状态的。
如果你做的是基于HTTP的认证,其实你不用担心这个,客户端总是会自动发送认证信息。