实现REST Api的要求之一是客户端必须每次都向服务器发送所需的状态信息以处理特定请求。假设身份验证已到位,并且我已成功验证用户是否使用其余api,这意味着每次请求都要验证用户是否有权访问api。
如果我有多个用户并且每个用户具有不同的访问权限,该怎么办?因此每个用户只能调用一组不同的Web服务。我想知道服务器通常如何处理这个问题。我认为这样做的唯一方法是检查每个用户的身份验证(通过密码哈希码等)与每个请求,以验证他是否具有对所请求服务的访问权限。如果这是正确的,那么在这种情况下处理多个用户身份验证的推荐方法是什么?
我使用flask来开发我的api,所以任何具体的建议将不胜感激:)
提前致谢。
答案 0 :(得分:1)
首先通过用户名和密码验证用户。返回令牌或哈希码。
在您对服务器api采取任何操作之前,请使用令牌检查用户权限。
您始终要检查其余api的权限。他们都可以打电话给api。他们的权限将决定他们是否能够做出请求。