Pour, par exemple, lorsqu'un utilisateur de se connecter.Maintenant, disons que l'utilisateur veut créer un sujet sur le forum, Comment vais-je savoir que l'utilisateur est déjà connecté?
Pensez - y, il doit y avoir une poignée de main qui indique à votre "Créer un Forum" API que cette demande émane d'un utilisateur authentifié. Depuis les Api REST sont typiquement apatride, de l'état doivent être conservées quelque part. Votre client de consommer de l'Api REST est responsable du maintien de cet état. Généralement, c'est dans la forme d'un jeton qui est transmis depuis le temps que l'utilisateur était connecté. Si le jeton est bon, votre demande est bonne.
Vérifiez la façon dont Amazon AWS ne authentifications. C'est un parfait exemple de "renvoyer la balle" autour d'une API à l'autre.
*J'ai pensé à l'ajout de certaines pratiques de la réponse à ma réponse précédente. Essayez de Apache Shiro (ou tout authentification/autorisation de la bibliothèque). Ligne de fond, d'essayer et d'éviter le codage personnalisé. Une fois que vous avez intégré votre bibliothèque préférée (j'utilise Apache Shiro, btw), vous pouvez procéder de la façon suivante:
- Créer un compte de Connexion/déconnexion de l'API comme:
/api/v1/login
et api/v1/logout
- Dans ces de Connexion et de Déconnexion des Api, effectuer l'authentification avec votre
magasin d'utilisateur
- Le résultat est un jeton (généralement,
JSESSIONID
) qui est envoyé au client (web, mobile, peu importe)
- A partir de ce point, tous les appels effectués par votre client
comprendra ce jeton
- Disons que votre prochain appel à une API appelée
/api/v1/findUser
- La première chose que cette API code va faire est de vérifier le jeton ("est
cet utilisateur authentifié?")
- Si la réponse est NON, alors vous jeter un HTTP 401 État
de retour chez le client. Laissez-les gérer.
- Si la réponse est OUI, passez à retourner la demande de l'Utilisateur
C'est tout. Espérons que cette aide.