java – 链接是否应包含HateOAS中的身份验证令牌?
作者:互联网
我正在使用Spring MVC和Spring HateOAS来创建一个宁静且无状态的JSON API.
一切正常.但我有一个“概念”问题.我的API在每个请求中都使用身份验证令牌.例如,您使用登录API来获取身份验证令牌,当您调用我的API时,您必须使用它,如下所示:
http://some_host/api/foo/bar?token=abcd
API始终响应JSON,并通过Spring HateOAS生成链接.举个例子 :
{
"label" : "foo",
"links" : [
"rel" : "self",
"href" : "http://some_host/api/foo/bar/1234656"
]
}
问题是:我应该在生成的URL中添加身份验证令牌吗? (所以它将是http:// some_host / api / foo / bar / 1234656?token = abcd)
我找不到任何建议或约定.
解决方法:
通常,身份验证令牌通过标准HTTP标头(例如HTTP Basic或Digest中的Authorization标头)进行通信.另一个常见的是通过cookie.在Servlet环境中,这通常是JSESSIONID cookie.
一般来说,您不应该看到作为请求URL的一部分传递的身份验证令牌.
标签:java,spring-mvc,spring,hateoas,spring-hateoas 来源: https://codeday.me/bug/20190703/1367404.html