如果我有一个REST API并且我想创建自己的身份验证系统,那么建立/access_token端点并将其视为REST资源是合适的,还是应该创建一个单独的服务来处理身份验证令牌的生成等...
我问的原因是这个......
对于REST端点,当您发出POST请求时,响应是否要在资源中包含link,以便您可以GET它?我真正想做的是将访问令牌作为POST请求响应的一部分返回,但这似乎打破了REST的范例,并使其与API的其余部分不同,这让我思考认证应该由不同的服务处理。
答案 0 :(得分:0)
我假设您正在谈论OAuth 2.0 standard,它永远不会强制授权服务器和资源服务器之间的分离。
至于另一个问题,access_token端点应该响应一个有效的POST请求,并带有包含实际令牌的响应消息,而不会违反REST原则。