我有一个用于我的 Restful 服务的用户对象,它有一个用户 ID 和一个密码。它只是用于授权的东西。我应该将其作为/user/{id} 之类的资源来执行还是将其放在 HashMap 中?
最佳答案
我最近编写了我的第一个 RESTful 服务。我使用了基本身份验证和 HTTPS。这意味着当 Auth header 不存在或不包含有效凭据时,我认为需要身份验证的任何资源都会拒绝任何带有 401(未经授权)响应的请求。
不需要单独的资源来控制访问。
话虽如此,我承认我不是 REST 大师或安全大师。因此可能还有其他方法来处理这个问题,但这个方法对我来说效果很好。
在 RESTful 服务中实现安全性的方法有很多种,没有非黑即白的正确/错误方法,只有最适合的方法。我听说有人使用基于 token 的身份验证,还有 OAuth,我将在未来的某个时候将我的服务迁移到 OAuth。好吧,无论如何,OAuth2。
关于rest - Rest 中如何进行身份验证?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/9962962/