我正在尝试用Java 8编写RESTful Web服务。我正在使用Glassfish(Jersey和Grizzly)
让我们拿走用户资源。
http://localhost:8080/geocon/users
在我映射 HTTP Verbs 之后,我意识到,如果没有正确的登录策略,每个知道用户ID的人(在本例中我将007视为userId)都可以调用 DELETE 到
http://localhost:8080/geocon/users/007
实际上删除ID为007的用户。与 PUT 动词相同,任何人都可以使用new覆盖旧数据 - 无需任何授权。我使用Elasticsearch存储用户(和其他类型的资源)作为JSON文档,我想知道我是否仍然可以使用它来存储密码信息。
考虑到我不介意使用基本的HTTP身份验证机制,我如何在实践中这样做?我如何检查用户是否真的是他自己并且有权删除或刷新引用他的数据?谢谢