我正在设计我的第一个RESTful API,并且对一些事情感到困惑。Restful设计,如何创建授权服务
我使用状态代码,名词和动词正确为止,所以POST到http://domain.com/api/contacts将创建一个新的联系人等
现在我设计我的登录表单,并不会使用HTTP认证,我将会获得一个json Web令牌并将其存储在cookie中。我的问题是这些..
1)什么名词用于登录服务,我假设api /登录将是错误的。我发布了一个用户名和密码,并希望登录发生,并发送一个JWT。我没有创建用户,也没有真正地获得用户,所以我不知道该怎么称呼它。
2)我读了另一个SO回答说,如果对API进行调用并且令牌无效(如果它在前端过期,那么调用永远不会进行),那么403是正确的状态码,但你如何分辨“登录令牌无效”和“登录有效但用户试图访问别人的内容”之间的区别。
3)如果用户正在登录并发送错误凭证,那么正确的状态码是什么?它似乎是401,但其他答案说不使用,因为浏览器会显示密码框。
任何帮助真的不胜感激。
准确地说,我正在寻找的信息,谢谢。 – jonhobbs