每当客户端调用特定 UI 时,我都需要创建一个 HttpSession(通过 cookie)。
假设:
- 假设我不会担心任何类似 oAuth 的深度身份验证舞蹈。JESSIONSID cookie 模拟目前不是问题。
- 服务器是 tomcat,因此如果创建了新会话,则会将 JSESSIONID cookie 发送到客户端。
设计问题:
- 我正在努力解决如何设计 URI。什么是 REST 资源?我已经有/users和/users/{someuserid}。我想使用/auth/login但在之前的一个 SO 问题中,一篇引用的文章说我们不应该在 url 中有动词。我注意到,即使是谷歌也犯了同样的错误,因为https://www.google.com/accounts/OAuthGetRequestToken。那么在您看来,/auth/login/johndoe(登录)和/auth/logout/johndoe(注销)是不错的选择吗?
更新:
我改变了我的设计。我现在正在考虑使用 URI /session/johndoe(PUT用于登录,DELETE用于注销)。它仍然应该在 REST 精神的范围内吗?