REST还要Session不?
发布于 12 年前 作者 romboo 7638 次浏览 最后一次编辑是 8 年前

第三方调用肯定不用API,直接用token访问就行了。如果是网站访问呢,是否也生成token,每次校验token,不用session,反正session也要丢到数据库里。

现在没有用oauth的那种复杂的方法,因为没有找到靠谱的第三方oauth provider for node.js。我就直接让用户登陆,然后生成一个token,以后就用这个token访问,反正调用api的程序是自家的。大家觉得这种方式安全不,求rest api专家。

3 回复

标题里的 reset 是指 REST ?

汗,是REST,写错了

不是安全砖家,不知道说得对不对:

  1. 没有第三方调用,就不一定要OAuth吧。
  2. 如果https访问的话,这种token验证的方式也没什么问题。
回到顶部