使用OPTIONS的RESTful API授权/权限

时间:2019-01-31 21:43:30

标签: rest permissions authorization api-design http-options-method

HTTP OPTIONS请求是否适合确定用户的授权?

我已经看到HTTP OPTIONS请求用于预检以检查请求是否有效,但是可以使用它确定用户对特定资源的访问权限吗?

用例

资源显示在页面上。有一个使用PUT来更新资源的编辑表单。如果对OPTIONS /resource/1的请求显示接受了PUT,则会显示一个编辑按钮。

问题

  1. OPTIONS请求是否适合返回特定用户有权确定授权/许可的动词?

  2. OPTIONS是否应该在前端代码(或只是预检验证)中使用标头信息?

  3. 是否存在用于通过REST API确定经过身份验证的用户权限的标准?

0 个答案:

没有答案