4
不好意思的問題,這是我第一次嘗試實現一個REST接口(在PHP中)。總之,由於HTTP協議的無狀態特性,什麼是最好的做法,以確保:會話是否用於REST驗證?
GET/ /user/{id}/friends
始終,只由當前認證的用戶執行?會話通常用作限制REST訪問的方法嗎?
不好意思的問題,這是我第一次嘗試實現一個REST接口(在PHP中)。總之,由於HTTP協議的無狀態特性,什麼是最好的做法,以確保:會話是否用於REST驗證?
GET/ /user/{id}/friends
始終,只由當前認證的用戶執行?會話通常用作限制REST訪問的方法嗎?
您可以使用HTTP會話,它只不過是服務器端的Cookie。他們通常沒問題,但最近有很多關於會話劫持的報告。所以我的答案,如果你真的關心這個是使用HMAC。設置起來很麻煩,但一旦確定消息確實來自經過身份驗證的用戶。
我真的很關心REST理念......會話還行REST POV? – gremo 2012-02-25 02:38:43