标签: rest authentication cookies authorization
我有一个端点,该端点允许两个授权级别使用它(管理员和非管理员)。假设我使用的是基于cookie的身份验证,那么假设管理员和非管理员都同时登录,那么识别出哪种类型的用户发出请求的最佳方法是什么?
我已经考虑过使用Referrer标头,或设置一个客户端cookie来表示admin / non-admin,但是对我来说似乎有点不客气。我希望避免为同一资源(/admin/resource和/user/resource)创建两个端点。在这种用例中,标准做法是什么?
Referrer
/admin/resource
/user/resource