rest api验证
验证 往往跟具体业务需求挂勾,比方 有的需求没有安全验证的需要,那就完全不验证,毕竟 验证是要耗费资源的。
最简单的,就是在url里面传输加密字符串 验证。逻辑超简单:1)url没有加密字符串参数,拒绝服务 2)收到加密字符串,解密后验证,验证不通过,拒绝服务。也可以将加密验证字符串放 http request header里面。
具体到加密 又可以多种方式,比如:对request url进行某种不可逆加密算法。因为request url每次请求的参数会不同,所以能满足某些安全验证需求。
第二种 token验证。JSON Web Token。可以规定TOKEN的时效,未超时则不需要再次验证。
第3种 session验证,关键点是sessionID。
通用框架如果对这些验证全部实现演示一次,代码量肯定不少。现实中,比如淘宝某个API其实也只规定用某种验证。
结论:使用哪种REST API验证方式,最好是为具体需求而定制开发。