会话是否用于REST身份验证?

时间:2012-02-24 23:32:14

标签: session authentication rest

对于noobish问题很抱歉,这是我第一次尝试实现REST接口(在PHP中)。无论如何,因为HTTP协议的无状态特性,为了确保:

,最佳做法是什么
GET/ /user/{id}/friends

始终只由当前经过身份验证的用户执行?会话通常用作限制REST访问的方法吗?

1 个答案:

答案 0 :(得分:1)

您可以使用HTTP会话,它只不过是服务器端的cookie。他们通常都很好,但最近有很多关于会议劫持的报道。所以如果你真的关心这个问题,我的答案就是使用HMAC。设置起来很棘手,但一旦确定,您就可以确定该消息确实来自经过身份验证的用户。