gpt4 book ai didi

api - 基于 Cookie 的身份验证和 Web API

转载 作者:行者123 更新时间:2023-12-04 14:03:14 26 4
gpt4 key购买 nike

我正在为我的服务构建一个公共(public) Web API。网页和原生移动应用程序(iOS、Android 和 Windows 8)同样会使用它。

我应该使用基于 cookie 的身份验证吗?我的意思是,这是这种情况的最佳实践吗?

更多信息:
在对身份验证/授权/openId-connect 字段进行了一些研究之后,我意识到大多数事情都是由浏览器处理的,我的意思是,重定向、coockie 插入和相关的“样板”东西......当我想关于我必须在本地应用程序中复制的所有样板,我想知道该模型是否最适合移动应用程序。我的意思是,也许还有另一种更适合移动原生的方式...

Ps:我知道这还是有点笼统,只是我是安全领域的初学者,我仍然不知道如何正确表达我的怀疑/担忧/“懒惰”......

最佳答案

API 本身应该是无状态的,并且不管理任何 session 。对 API 的每个请求都应使用身份验证详细信息(例如 OAuth token )。

如果网页和移动应用程序需要维护某种 session ,那么应该由它们作为服务的客户端来维护该状态。例如,网页可能会为用户设置 session cookie,但 native 移动应用程序可能需要完全不同的方法。

另见:If REST applications are supposed to be stateless, how do you manage sessions?

关于api - 基于 Cookie 的身份验证和 Web API,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/23065354/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com