不确定标题是否合适,但问题是这里 1)我使用Jersey(Java)开发了REST API 2)我想使用Facebook登录来验证用户身份 3)现在一旦用户使用FB登录我的网站,并且使用Ajax调用从我的网站访问API,我如何确保请求来自已登录用户以及如何获取用户身份(配置文件ID等) 。)
解决此类API使用的最佳方法是什么?
答案 0 :(得分:0)
应该从HttpSession存储和访问用户的“个人资料”。您的Web容器应该为您管理哪个,并且很可能会使用cookie。例如,tomcat设置一个名为jsessionid的cookie,并使用该cookie来管理要使用的会话,从而使用哪个用户进行请求。
通常,对于“REST”服务,应在每次呼叫时验证最终用户。
我建议您查看Basic Authentication(仅限ssl)和/或O-Auth2。