在Restful apis中授权

时间:2016-02-24 20:44:23

标签: rest web get

我正在研究restul api,无法找到解决问题的方法。

我有一个按ID获取资源的请求,我已经实现了基本身份验证。

现在,如果某人更改了get请求中的Id,他也可以访问其他用户的资源。

如何限制用户仅查看其资源,是否必须为每种类型的资源创建一些安全过滤器?

任何有关防止此类问题的最佳做法的链接都将受到赞赏!

2 个答案:

答案 0 :(得分:2)

简短的回答是:是的,如果实际允许用户访问该资源,则需要开发一些检查每个资源的内容。

如果不允许用户,则会返回403 Forbidden HTTP错误。

答案 1 :(得分:0)

如果用户具有访问权限,则该请求应具有一些与授权相关的字段作为令牌访问权限。有了它,您可以验证哪个用户正在请求数据,如果允许,则继续像往常一样继续GET。过滤器非常适合这种情况。

在此处检查授权https://en.wikipedia.org/wiki/List_of_HTTP_header_fields