Как обработать аутентификацию в PHP REST web service?

Question

Я читал, что хороший способ написания веб-сервисов для мобильных приложений - это избегать SOAP (слишком многословно) и использовать REST; во многих примерах REST, которые я видел, лучше избегать сессий из-за природы REST без сохранения состояния ... но как я могу обеспечить безопасность при вызове моего веб-сервиса? Я хотел бы сделать вызов входа в систему, а затем передать идентификатор сеанса / токен следующему вызову веб-службы ... Как я могу это сделать?

Answer 1

Самый чистый способ - использовать HTTP-аутентификацию.Хотя это не будет связано с тем, как вы упомянули login + sessionid, это будет намного чище и проще (вызовы API не связаны с другими вызовами API, и клиентам не нужно ожидать тайм-аута сеанса и т. Д.)

Answer 2

Вы можете передать токен пользователя (и сеанс или любые другие данные аутентификации, если вам это нужно) в запросе json, например:

{"auth": {"session_id": "abc", "token":"123"},
 "data": "your request data"
}

Если вы без ума от безопасности, вы можете генерировать новый токен после каждого входа пользователя в систему и даже иметь время жизни для токенов.