我正在创建一个带有 JavaScript 客户端的系统,它将通过 REST (HTTP)[JSON] 与服务器通信。
我正在使用基于角色的访问控制来管理呼叫。
示例:[显式 URL 将保持不变]
- 匿名 -> 请求
\
- 服务器 -> 登录表单的路由:
\login\
- 用户(现在有 cookie!)-> 请求
\
if (user->role == "manager") return "\manager-homepage\";
else return "\homepage\";
由于 REST 是无状态的,我将如何管理这个用例?
我是否在每个请求中都发送 cookie,返回的 HTTP 状态码会告诉 JS 路由到哪里?
[这将是相当低效的 + 对 MITM 攻击开放]