我有一个REST API,将由两种不同类型的客户端使用。 根据客户端的类型,我想允许调用DELETE方法。出于讨论目的,假设允许客户端A删除但客户端B不允许删除。
我在考虑在API检查的查询字符串中包含一个令牌......但不太确定我应该将这个令牌/字符串烘焙。我猜共享密码会没问题......
或许还有另一种方法可以做到这一点。 任何意见都将不胜感激。
答案 0 :(得分:0)
两个客户端之间的差异可能是因为他们是不同的用户,或者可能是因为出于安全原因,两个客户中的一个只是访问量有限。
要区分这两者,您应该使用Authorization标题。这可以像Basic auth一样简单,也可以像OAuth2一样复杂。