【问题标题】:Can Hybrid Auth be used in a RESTful APi混合身份验证可以在 RESTful API 中使用吗
【发布时间】:2016-06-27 12:11:49
【问题描述】:

我正在为学校设计一个 RESTful API。在查看文档后,我似乎并没有通过 RESTful API 进行身份验证,它必须在前端完成,然后检查我的 API。这个对吗?还是我阅读文档有误?

因为我的团队依赖于我,所以总菜鸟试图构建这个超级快。任何帮助将不胜感激。

【问题讨论】:

    标签: php rest hybridauth


    【解决方案1】:

    身份验证是主机的责任,例如 IIS。 Web API 可以通过要求只有经过身份验证的用户才能访问的方式参与;
    - 所有控制器
    - 特定控制器或;
    - 控制器内的特定操作;
    通过适当地应用 [Authorize] 属性。如果没有在 [Authorize] 属性中指定特定的用户/用户或角色/角色,则所有经过身份验证的用户都将被允许访问,否则只有指定的用户。

    希望这会有所帮助。

    【讨论】:

      【解决方案2】:

      “A RESTful API”基本上是一种使用“Web URL”作为请求基本格式的 API:请求的参数显示为 /slash/separated/parts/of/the/url

      “身份验证和授权”问题通常排除此类 API 的设计,尽管有时要求“某某随机字符串”出现在请求中的某个位置。 (这通常只是“浏览器缓存清除”所必需的。) HTTP 协议已经提供了在每个请求中透明地发送“附加信息”的能力:我们将这些东西称为“cookies”。 Web 服务器(想到微软的 Internet Explorer) 和应用程序服务器通常提供其他方式来识别客户端。因此,API 本身的设计通常可以“只针对手头的业务”。

      是的,您可能需要设计一个用于提供身份验证/授权凭据的 API 调用……尽管在实践中这种情况很少见。但是,对于大多数 RESTful 调用,您不必继续 关注这些事情,也就是说,“在 REST 字符串本身的实际文本中”。 HTTP 协议中还有其他方法可以将这些附加信息传递给主机。

      【讨论】:

        猜你喜欢
        • 2014-07-21
        • 2011-11-28
        • 1970-01-01
        • 2015-08-06
        • 2013-08-21
        • 2011-01-16
        • 2015-07-18
        • 2011-10-02
        • 2014-11-15
        相关资源
        最近更新 更多