Question

Извините за нубистский вопрос, я впервые пытаюсь реализовать интерфейс REST (в PHP).В любом случае, поскольку HTTP-протокол без сохранения состояния, какова лучшая практика, чтобы гарантировать, что:

GET/ /user/{id}/friends

всегда и только выполняется текущим аутентифицированным пользователем?Сессия обычно используется как метод ограничения доступа к REST?

Chris Eberle · Answer 1 · 25 февраля 2012

Вы можете использовать HTTP-сеансы, которые являются ничем иным, как cookie-файлами на стороне сервера.Обычно они в порядке, но в последнее время было много сообщений об угоне сессии.Так что мой ответ, если вы действительно обеспокоены этим, это использовать HMAC .Это сложно настроить, но как только это произойдет, вы можете быть уверены, что сообщение действительно было получено от аутентифицированного пользователя.

Используется ли сеанс для аутентификации REST?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Используется ли сеанс для аутентификации REST?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов