我需要构建一个具有Web前端的REST API(将来也可以移动)。
我对如何管理最终用户的身份验证和会话管理感到有些困惑。
我知道使用API有2种身份验证,机器到机器和用户到机器,前端将使用机器加工方法,但是,遵循REST设计的状态,我该如何制作用户身份验证?
我应该在前端处理用户会话管理吗? 我应该在每个请求中发送用户ID和密码吗?
我对这个话题非常困惑。
感谢您的帮助。
答案 0 :(得分:2)
是的,您应该在前端处理用户会话管理。当用户登录时,您将pwd和id发送到api,api会向您返回用户(您需要的有关用户的所有内容 - 这也应该包含某种用户令牌,您将在下一步操作中用来识别用户)。 此过程仅执行一次,因为您将用户保存在会话中。当用户注销时,您只需删除会话。
所以基本上会发生什么,id + pwd被发送到api。 Api使用用户令牌返回用户。然后对于每个请求,您可以将用户令牌发送到api,以便您知道哪个用户正在执行哪些操作并在后端处理此操作。