1

我正在开发一个 RESTful Web 应用程序。我希望通过POST请求(请求正文中的用户名和密码)进行用户注册,并通过GET请求(查询中的用户名和密码)进行用户登录。

PassportJS 文档似乎表明Passport 期望凭据位于请求正文中(它解析)。我不太明白它如何处理 GET 请求,因为它们没有正文(通常,如果我理解正确的话)。

我将如何进行这项工作?这是一个坏主意吗?如果是,是否有 RESTful 替代方案?

4

1 回答 1

2

是的,这是个坏主意。GET 请求进入浏览器历史和服务器日志文件,在地址栏中可见,可以被代理缓存等。这违反了 HTTP 语义和安全性。只需按照行业最佳实践登录,即可节省构建实际应用程序的精力。如果它给您带来温暖的模糊感,您可以将登录视为会话资源的 CREATE 操作,根据 REST 通过 POST 请求完成。

于 2013-10-28T02:43:31.640 回答