Это может быть что-то тривиальное для многих из вас, но мне не повезло в понимании правильного потока для моего использования. Я создаю API для наших мобильных приложений (IOS & Android), и, как и большинство веб-приложений, API имеет определенные функции/страницы (с точки зрения веб-сайта), доступ к которым может получить только зарегистрированный пользователь. Поскольку сеансы обычно обескуражены в конструкции API, мне интересно, как отслеживать такие вещи в API. Мой вопрос заключается в том, как мне определить, что:REST API - Управление пользовательской сессией без учета состояния
- Пользователь зарегистрирован с клиентской стороны. Поэтому, когда пользователь регистрируется, отправив свое имя пользователя и пароль, серверная сторона авторизует пользователя после проверки из БД. На данный момент, что я должен отправить клиенту, чтобы он отправил меня с каждым запросом на будущую идентификацию?
- Убедившись, что я получаю запрос для реального пользователя ... пользователь A, например, не может запрашивать информацию пользователя B. Другими словами, я думаю, что если я делаю что-то на основе UserID (или какой-то токен, поскольку он также должен иметь некоторое шифрование), кто-то может каким-то образом нарушить мою безопасность и запросить контент для идентификатора другого пользователя ... Как я защищаю это?
По существу, я ищу руководство для поддержания состояния без гражданства.
Я вижу, что вы говорите. Я думаю, что когда пользователь войдет в систему, сервер может отправить ключ клиенту, который клиент будет добавлять со всеми вызовами APi, пока пользователь остается на стороне клиента. – user3288151
@ user3288151 Нет, он не может, потому что это будет сеанс на стороне сервера. Btw. Я не думаю, что вам действительно нужно написать REST API. – inf3rno