我正在使用MEAN堆棧構建一個web應用程序。MEAN堆棧中的REST API,通過會話的id和id
在構建REST API我看到了很多的例子有以下端點
/api/contacts/:id
爲GET,PUT和DELETE方法。
我做了一些不同的事情,我在Express框架中啓用了會話,現在我可以在執行HTTP請求時使用req.session.req.payload._id查看用戶文檔ID(用於mongoDB),這使得我可以訪問該文件。
那爲什麼我也不需要公開URL中的用戶文檔ID,當我做 一個HTTP請求。
我的問題是哪種方法更好更安全?
此外,我怎麼能得到Angular中的用戶ID傳遞給HTTP請求,以防我不使用會話。
最後一個......我也在調用更新數據庫的函數之前使用JWT作爲中間件。這給了我一些安全感,但是對於具有正確標記的用戶來說,使用不同的ID來執行HTTP請求並獲取,更新和刪除其他用戶數據是不可能的? 這對於我正在使用的當前方法(會話)來說是不可能的
嘿,爲什麼我需要「我」,如果我已經從會話中獲得id?我想我可以將它保留爲/ api/contacts,每個用戶將根據會話獲取請求的數據。另外我不需要用戶訪問其他用戶的數據。對於我來說,允許用戶使用他們想要的任何ID進行HTTP請求並不安全。 –