【发布时间】:2010-06-25 15:44:31
【问题描述】:
我正在构建一个将使用 JSON 的 API。此 API 的主要用途是浏览器中的 AJAX,但它也可以由用户的 PHP 脚本等在服务器端使用。
我有两种方法可以做到这一点(我认为):
- 构建 API,使其使用 HTTP 标头设置会话 cookie 并检索所有数据以使用
COOKIE['session_id'](伪代码)维护状态 - 构建 API,使其返回
session_id并允许用户的 JavaScript 代码为session_id设置自己的 cookie
总的来说,我有点迷茫。哪种方式更安全(CSRF 等),开发人员容易理解,更容易在服务器端进行更改,而无需告诉用户他们必须更新他们的代码。
另外,您是否建议使用 JSON-RPC 规范,如果是,是否其中一种方法能更好地支持 JSON-RPC?
非常感谢任何帮助。
【问题讨论】:
标签: javascript api cookies