【发布时间】:2012-02-25 07:37:51
【问题描述】:
抱歉,这是我第一次尝试实现 REST 接口(在 PHP 中)。无论如何,由于 HTTP 协议的无状态特性,为了确保:
GET/ /user/{id}/friends
总是且仅由当前经过身份验证的用户执行? session 通常是用来限制 REST 访问的吗?
【问题讨论】:
标签: session authentication rest
【发布时间】:2012-02-25 07:37:51
【问题描述】:
您可以使用 HTTP 会话,它只不过是服务器端的 cookie。他们通常没问题,但最近有很多关于会话劫持的报告。因此,如果您真的对此感到担忧,我的回答是使用HMAC。设置起来很棘手,但一旦设置好,您就可以确定消息确实来自经过身份验证的用户。
【讨论】:
-
我真的很关心 REST 哲学……会话可以 REST POV 吗?