4
不好意思的问题,这是我第一次尝试实现一个REST接口(在PHP中)。总之,由于HTTP协议的无状态特性,什么是最好的做法,以确保:会话是否用于REST验证?
GET/ /user/{id}/friends
始终,只由当前认证的用户执行?会话通常用作限制REST访问的方法吗?
A
回答
1
您可以使用HTTP会话,它只不过是服务器端的Cookie。他们通常没问题,但最近有很多关于会话劫持的报告。所以我的答案,如果你真的关心这个是使用HMAC。设置起来很麻烦,但一旦确定消息确实来自经过身份验证的用户。
相关问题
- 1. 令牌身份验证Rest API会话
- 2. AOP是否局限于会话和访问验证?
- 3. 验证会话
- 4. 基于会话的身份验证是否会打破REST Web API的无状态体系结构约束?
- 5. 如何验证是否配置了sqlalchemy会话? SQLAlchemy的会议
- 6. 如何验证Outlook会话是否打开使用VBA
- 7. 用户会话验证5
- 8. Codeigniter用户会话验证
- 9. Steam验证会话
- 10. php会话验证
- 11. 基于会话的身份验证
- 12. 是否有可用于验证码
- 13. 这是否适用于会话管理?
- 14. HttpContext.Current.Cache是否可用于所有会话
- 15. 会话验证码始终是错的
- 16. 如何验证会话中的列表是否为空? JSP
- 17. 表单身份验证是否防止会话劫持?
- 18. 是否可以验证Browser-Javascript会话的完整性?
- 19. 如何验证旧会话是否真的被破坏?
- 20. 用于现场验证的REST API
- 21. 用于验证凭据的REST方法
- 22. REST服务基本身份验证会话超时
- 23. ZF2会话验证器
- 24. CherryPy会话身份验证?
- 25. MVC - php会话验证
- 26. 验证Facebook连接会话
- 27. 适当验证会话
- 28. Kohana3验证会话生活
- 29. 在Tomcat Shibboleth会话验证
- 30. ASP.NET身份验证会话
我真的很关心REST理念......会话还行REST POV? – gremo 2012-02-25 02:38:43