7
모바일 앱을 작성하는 개발자가 사용할 REST API를 개발 중입니다. 사용자는 타사 서비스 (Google, Twitter 등)를 사용하여 자신을 인증 할 수 있으며, 이는 주로 OAuth에서 처리합니다 (해당 서비스에 따라 다름). 우리는 클라이언트 응용 프로그램과 API 서버 사이에 2-legged OAuth를 사용합니다 (여기서 소비자 키/비밀은 응용 프로그램에 따라 다릅니다. 개발자는 응용 프로그램에 등록 할 때 당사 사이트에서 가져옵니다).무국적 REST API를 구현하는 방법
내 문제는 어떻게 사용자 인증 상태를 추적 할 수 있는지를 처리하는 것입니다. 각 요청에서 보낼 사용자 자격 증명이 없습니다. 사용자가 로그인 할 때 고유 한 session_id를 만든 다음 REST API에 대한 각 요청에서이를 요구할 수 있습니다. 내 문제에 대한 다른 해결책이 있습니까? 고유 한 session_id를 사용하여 사용자를 식별하면 Stateless REST API 관점에서 문제가 발생합니까?
나는이 좋은 기사를 John Wilander가 여전히 소화하고있다. 아마도 그것은 당신을 도울 수 있습니다. http://appsandsecurity.blogspot.com/2011/04/rest-and-stateless-session-ids.html – RayLuo