我正在为学校设计RESTful API。查看完文档后,看起来我没有通过RESTful API进行身份验证,必须在前端完成,然后检查我的API。它是否正确?或者我读错了文档?
因为我的团队依赖我,所以试图建立这种超级速度的总诺布。任何帮助将不胜感激。
答案 0 :(得分:0)
" RESTful API"基本上是一个使用"网址"作为请求的基本格式:请求的参数显示为/slash/separated/parts/of/the/url。
"身份验证和授权"关注点通常是排除来自这种API的设计,尽管有时"这样的随机字符串"需要出现在请求中的某个位置。 (通常只需要#34;浏览器缓存清除。") HTTP协议已经提供了透明地发送附加信息的能力。每一个请求:我们称这些东西为#34; cookies。" Web服务器(微软的Internet Explorer可以想到)和应用程序服务器通常提供其他方式来识别客户端。因此,API本身的设计通常只能坚持手头的业务。"
是的,您可能需要设计一个用于显示身份验证/授权凭据的API调用...但实际上,这种情况很少见。但是,对于大多数RESTful调用,您不应该继续关注这些事情,也就是说,在REST字符串本身的实际文本中。 " HTTP协议中存在其他方法,通过这些方法可以将这些附加信息传送给主机。
答案 1 :(得分:0)
身份验证是主机的责任,例如IIS。 Web API可以通过要求只有经过身份验证的用户才能访问来参与;
- 所有控制器
- 特定控制器或;
- 控制器内的特定操作;
适当地应用 [授权] 属性。如果 [授权] 属性中未指定特定用户/用户OR角色/角色,则将允许所有经过身份验证的用户访问其他用户,仅访问指定用户。
希望这有帮助。