对于noobish问题很抱歉,这是我第一次尝试实现REST接口(在PHP中)。无论如何,因为HTTP协议的无状态特性,为了确保:
,最佳做法是什么GET/ /user/{id}/friends
始终只由当前经过身份验证的用户执行?会话通常用作限制REST访问的方法吗?
答案 0 :(得分:1)
您可以使用HTTP会话,它只不过是服务器端的cookie。他们通常都很好,但最近有很多关于会议劫持的报道。所以如果你真的关心这个问题,我的答案就是使用HMAC。设置起来很棘手,但一旦确定,您就可以确定该消息确实来自经过身份验证的用户。