我正在开发一个 Web 应用程序,我决定让服务器端成为一个(几乎)宁静的 Web 服务(使用 node.js)。
我说几乎是宁静的,因为虽然我想使用资源范式,但我想在做某些事情时更加灵活,即身份验证。
我读过的所有文章、教程和示例都说我应该使用 http auth 进行身份验证。但我有不同的想法。
我创建了一个名为 session 的资源,它的工作方式如下:
发布/会话
创建一个会话,并返回会话 ID。此会话 ID 值将用于此会话中的所有请求。(此时,用户尚未登录,但有一个会话,所以我已经可以为会话设置值。)
PUT /session {会话,电子邮件,密码}
使用用户值更新会话
删除/会话 {会话}
删除会话,注销用户。
以下是问题:
- 这个会话资源是否有意义,还是只是将这种灵活性太过分了?
- 如果这真的很安静,我应该在 /session/:id 之类的请求中包含会话 ID,但是因为会话类似于单例资源(就用户而言,没有其他会话可能),所以有以这种方式调整规则没有害处。这是一个好主意吗?