1

我需要构建一个具有 Web 前端的 REST API(将来也将是移动的)。

我对如何管理最终用户的身份验证和会话管理有点困惑。

我知道使用 API 有 2 种身份验证,机器到机器和用户到机器,前端将使用机器到机器的方法,但是,遵循 REST 设计中的状态,我该如何进行用户身份验证?

我应该在前端处理用户会话管理吗?我应该在每个请求中发送用户 ID 和密码吗?

我对这个话题很困惑。

谢谢你的帮助。

4

1 回答 1

2

是的,您应该在前端处理用户会话管理。当用户登录时,您将 pwd 和 id 发送给 api,api 将返回用户(您需要的关于用户的所有信息 - 这还应该包括某种用户令牌,您将在接下来的操作中使用它来识别用户)。此过程仅执行一次,因为您将用户保存在会话中。当用户注销时,您只需删除会话。

所以基本上发生的事情是 id + pwd 被发送到 api。Api 使用用户令牌返回用户。然后对于每个请求,您可以将用户令牌发送到 api,以便您知道哪个用户在做什么并在后端进行处理。

于 2013-08-27T16:54:13.213 回答