授權RESTful服務的實用示例？

Question

S.O.有許多優秀的問題（和答案）。圍繞着REST和安全問題。許多人說「純粹主義者不會喜歡這個，但是等等......」然後其他人說「你永遠不應該這樣做，因爲等等等等」。

但我還沒有看到解決方案「純粹主義者」暗示以下情況。所以我的問題是 - 什麼是以下場景的「純RESTful解決方案」？

簡單的場景...

試想建庫/網站，讓用戶管理他們最喜愛的食譜。該網站公開了一個RESTful API，以便用戶可以從他們想要編寫的自定義程序（利用此API）查詢和操作他們的列表。

因此，用戶「A」有3個最喜歡的食譜，ID爲「1」，「2」和「3」。

用戶「B」有2個最喜歡的食譜，ID爲「4」和「5」。

我們需要確保如果用戶A發送DELETE命令到/Recipes/4他將得到一個Forbidden (403)響應。

我通常會做...

我通常會做的是讓他們先調用的驗證方法，並把他們某種身份驗證令牌，其有效期爲30分鐘左右。通常這個令牌將通過cookie傳遞。

什麼是純解決方案？

純REST解決方案是否讓它們將它作爲查詢字符串中的變量傳遞？ Are cookies the devil?令牌應該作爲URL的一部分使用（而不是查詢字符串參數）？還有其他的東西可以清楚地回答這個問題嗎？

Answer 1

登錄時，你得到了驗證令牌資源路徑令牌在授權頭。這就是它的設計目的。請參閱http://greenbytes.de/tech/webdav/draft-ietf-httpbis-p7-auth-12.html

Answer 2

一個簡單的無狀態和餅乾免費解決方案將給每個用戶一個相同的令牌。

有一些方法可以生成這些令牌，以便它們足夠稀疏以防出現安全問題。

例如https://www.grc.com/passwords.htm

假設你用戶A和用戶B你生成用戶A的令牌X和用戶B的令牌Ÿ

所以用戶A將使用類似/X/Recipes/1

和用戶B將使用類似/Y/Recipes/4

這是安全的，因爲用戶A是唯一知道他的令牌的人，正如我之前提到的，生成令牌的方式可以確保其他人猜測該令牌的「不可能」。

因此，如果其他人（如用戶B在URL中使用其他標記，比如說/Z/Recipes/1），則應該能夠識別並返回相應的錯誤消息。

您可以讓用戶在url中傳遞令牌，如上所示，或將其作爲Autherticantion消息嵌入到HTTP請求中。

Answer 3

將auth令牌視爲資源。

您通過獲取參數爲憑據的身份驗證令牌進行身份驗證（例如，基於https的基本身份驗證）。

註銷通過執行刪除操作中。