이것은 많은 사람들에게 사소한 일일 수 있지만 내 유스 케이스에 대한 올바른 흐름을 이해하지 못했습니다. Google 모바일 앱용 API (IOS & Android)를 구축 중이며 대부분의 웹 애플리케이션과 마찬가지로 API에는 로그인 한 사용자 만 액세스 할 수있는 특정 기능/페이지 (웹 사이트 측면)가 있습니다. 세션은 일반적으로 API 구성에서 권장되지 않으므로 API에서 이러한 내용을 추적하는 방법을 궁금합니다. 내 질문은, 어떻게 식별해야합니까 :REST API - 상태가 유지되지 않는 방식으로 사용자 세션 관리
- 사용자가 클라이언트 측에서 로그인했습니다. 따라서 사용자가 사용자 이름과 암호를 보내서 로그인하면 서버 측은 DB에서 확인한 후 사용자를 인증합니다. 이 시점에서, 앞으로 신원 확인을 위해 각 요청과 함께 나를 보내야한다는 것을 고객에게 무엇을 보내야합니까?
- 실제 사용자를 요청하는 중입니다 ... 예를 들어 사용자 A는 사용자의 B 정보를 요청할 수 없습니다. 다른 말로하면 내가 생각하고있는 것은 UserID (또는 일부 암호화가 있어야하는 토큰)를 기반으로하는 작업을 수행하면 누군가가 내 보안을 어떻게 든 깨뜨리고 다른 사용자의 ID에 대한 콘텐츠를 요청할 수 있다는 것입니다. 이거 안전합니까?
본질적으로 상태를 무국적으로 유지하기위한 지침을 찾고 있습니다.
나는 당신이 말하는 것을 봅니다. 나는 사용자가 로그인 할 때 서버가 클라이언트에 키를 보낼 수 있다고 생각한다. 클라이언트는 클라이언트가 클라이언트 측에서 노래를 부르는 한 모든 APi 호출을 추가 할 것이다. – user3288151
@ user3288151 서버 쪽 세션이기 때문에 불가능합니다. Btw. 나는 REST API를 작성해야한다고 생각하지 않는다. – inf3rno