【发布时间】:2019-01-22 08:16:42
【问题描述】:
我们开始将我们的网站迁移到基于 REST 服务的系统,并且目前正在开发核心。
在我们当前的设置中,用户分配了一个或多个“帐户”,这些“帐户”定义了他可以在网站上看到的数据。在任何时候,给定用户只能激活一个帐户。现在我们将选定的帐户存储在数据库中,并使用它来过滤所有查询。
现在我不确定如何在 REST 环境中正确处理这个问题。我找到的可能解决方案是:
- 在每个请求中发送请求的帐户
- 将当前帐户存储在身份验证令牌中。 (我们为此使用 JWT)
- 将当前帐户存储在服务器上并调用特定资源来更改它
对于我们的设置,每一个都有其优点和缺点。目前我们在我们的网站中使用第三种方法。但是在 REST 环境中处理此类事情的正确方法是什么?
【问题讨论】:
标签: rest session restful-authentication