我在这里遇到问题。我一直在寻找答案,但一直无法找到我正在寻找的确切答案。我正在尝试为REST api构建安全的身份验证方法。我的问题是,我们如何处理REST api的登录?
由于REST api每次都是无状态的,这是否意味着我们需要将客户端的用户名/密码存储在客户端(可能是哈希),并将其与每个请求一起发送?我更习惯使用像第一次登录时创建的身份验证令牌这样的系统,但是这会违反REST的基本规则,因为这在技术上会在服务器上创建“状态”吗?
处理此问题的最佳和最实用的方法是什么?正如我之前所写,我正在努力想出一个答案;也许那是因为这个问题没有明确答案,但老实说我不知道。
提前致谢。
答案 0 :(得分:1)
这也是我对REST的理解:客户端将登录/密码与每个请求一起发送到服务器。服务器必须仅基于此信息对客户端进行身份验证。关于REST的超媒体原则,根据我的理解,让用户登录不是应用程序状态。