php resf验证,REST API上的用户注册/身份验证流程

最新推荐文章于 2022-08-08 17:36:23 发布
最新推荐文章于 2022-08-08 17:36:23 发布
阅读量139 收藏
点赞数
文章标签: php resf验证

我知道这不是第一次在StackOverflow中处理该主题,但是我有一些问题我找不到答案或其他问题有反对的答案.

我正在做一个相当简单的REST API(Silex-PHP),最初由一个SPA(骨干应用程序)消费.我不想评论这个问题中的所有几种身份验证方法,因为该主题已经在SO中完全覆盖.我将基本上为每个用户创建一个令牌,并且这个令牌将被附加在需要SPA验证的每个请求中.所有SPA-Server事务将在HTTPS下运行.现在,我的决定是令牌不会过期.每个会话到期/令牌的令牌不符合REST的无状态,对吗?我知道有很多安全改进的余地,但这是我现在的范围.

我有一个令牌的模型,因此在数据库中有一个用于具有FK到user_id的令牌的表.这样我的意思是令牌不是我的用户模型的一部分.

寄存器

我有一个POST /用户(不需要验证)在数据库中创建一个用户并返回新的用户.这符合一个请求一个资源规则.但是,这给我带来了一些疑问:

>我的想法是,在创建新用户时,为用户创建一个新的令牌,立即返回响应,从而改进UX.用户将立即开始使用网络应用程序.然而,返回这样的响应的令牌将会破坏返回资源的规则.我应该一起做两个请求吗?一个用于创建用户,一个用于在用户需要重新输入凭据的情况下检索该令牌?

>如果我决定与用户一起返回令牌,那么我相信POST /用户会对API消费者感到困惑,然后会出现像POST / auth / register这样的东西.再一次,我不喜欢这个想法,因为涉及一个动词.我真的很喜欢this answer中提供的简单性,但是再次,我需要一起做两个请求,一个POST /用户和一个POST /令牌.如果两个请求一起发送,一起执行两个请求也有错误,如果两个请求一起发送,我将如何精确地发送要附加到某个用户的令牌的相关信息?

现在我的流程如下:

1. Register form makes a POST /users request

2. Server creates a new user and a new token,returns both in the response (break REST rule)

3. Client now attaches token to every Request that needs Authorization

令牌永远不会过期,保留REST无状态.

电子邮件验证

大多数当前的webapps需要电子邮件验证,而不会破坏用户的UX,即用户可以在注册后立即使用webapp.另一方面,如果我用上面提出的注册请求返回令牌,用户将立即访问每个资源,而无需验证电子邮件.

通常我会去下面的工作流程:

1. Register form sends POST /users request.

2. Server creates a new user with validated_email set to false and stores an email_validation_token. Additionally,the server sends an email generating an URL that contains the email_validation_token.

3. The user clicks on the URL that makes a request: For example POST /users/email_validation/{email_validation_token}

4. Server validates email,sets validated_email to true,generates a token and returns it in the response,redirecting the user to his home page at the same time.

这看起来过于复杂,完全破坏了UX.你怎么去的?

这很简单,现在我这样做,所以请纠正我错了:

1. User fills a log in form which makes a request to POST /login sending Basic Auth credentials.

2. Server checks Basic Auth credentials and returns token for the given user.

3. Web app attached the given token to every future request.

login是一个动词,因此打破了一个REST规则,每个人似乎都同意这样做.

登出

为什么每个人似乎都需要一个/ auth / logout端点?从我的角度来看,点击Web应用程序中的“注销”应该基本上从应用程序中删除令牌,而不是发送进一步的请求.服务器在这方面没有任何作用.

由于令牌可能保留在localStorage中,以防止在可能的页面刷新时丢失令牌,注销也意味着从localStorage中删除令牌.但是,这并不影响服务器.我了解需要POST /注销的人员基本上使用会话令牌,这再次打破了REST的无状态.

记住我

我明白,记住我基本上是指将返回的令牌保存到本地或不在我的情况下.这是正确的吗?

如果你建议对这个话题进一步的阅读,我将非常感谢.谢谢!

天眞無鞋
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Django-REST-framework教程中文版
09-12
django接口开发教程。主要介绍如何通过Django-Rest-Framework快速创建REST风格的API。帮助快速进行django接口开发
php resf验证,PHP rest API身份验证
weixin_32379547的博客
03-22 113
我为PHP应用程序构建了一个宁静的API。目前,API只会接受json响应。请求,路由和响应都由框架处理,但我需要构建自定义的认证机制。我想添加两项以增加安全性并避免重播攻击:时间戳和随机数。除了这两个项目之外,我还希望进行一次完整性检查,以确保从安全性或可用性的角度来看,我没有错过任何其他显而易见的事情。entity_id应该放在标题中而不是请求中吗?这是我到目前为止的认证:function a...
REST service 之登录注册
TO TOP CODER
07-24 1578
上一篇讲到搭建环境
php resf验证,php – 使用laravel进行REST api身份验证
weixin_32709413的博客
03-22 131
我正在使用RESTful控制器属性构建一个带有laravel的RESTful api.到目前为止,我已经能够使大部分工作.现在的问题是验证,我试图使用“user_id”和“签名”的亚马逊方法.我使用php的’hash_hmac()’创建签名.这是一个api控制器的例子class Api_Tasks_Controller extends Api_Controller {public $restful...
php resf验证,关于php:验证请求时Laravel中的rest api
weixin_29066781的博客
03-22 116
我目前正在尝试如何用Laravel构建一个RESTfulAPI,我目前正在创建一个新用户。这只是一个测试,在尝试使用Laravel中的验证验证请求时,我得到了一些结果;结果如下:我一直试图用以下代码创建一个新的代码:public function store(){$validation = Validator::make(Request::all(),['username' => 'req...
ElasticSearch RestAPI
sinat_34241861的博客
07-31 776
1、 设置分片数和副本数 ES7默认主分片数和主分片副本数都为1,通过 default_template 指定分片数 PUT http://192.168.8.101:9200/_template/default_template { "index_patterns" : ["*"], "settings": { "number_of_shards": 3, "number_of_replicas" : 1 } } number_of_shards:每个索引的主分片数,默认值
WooCommerce 安装和 rest api 使用
qq_39007838的博客
08-08 748
WooCommerce 安装和 rest api
rest api介绍
qq_38469784的博客
02-20 365
参考文章 rest api是前后端分离最佳实践,是开发的一套标准或者说是一套规范,不是框架。 好处: 1、轻量,直接通过http,不需要额外的协议,通常有post/get/put/deletec操作。 2.面向资源,一目了然,具有自解释性。 3.数据描述简单,一般通过json或者xml做数据通讯。 REST(Representational State Transfer):表现层状态转化 1.资源(Resources) REST的名称“表现层状态转化”中,省略了主语。“表现层”其实指的是“资源”的“表现层”
php 除法/,php 除法函数怎么用
weixin_42599908的博客
03-09 1243
php除法函数的使用方法:首先创建一个PHP示例文件;然后通过“floatval($resf/$rese);”等方法计算除法结果即可。php 除法1.浮点数除法: $resu=floatval($resf/$rese);去小数位数的函数为round($name,number);for example: $resultke=round($resu, 2);2、函数详解float ceil ( fl...
resf.pdf a tutorial of rest
05-21
REST tutorial Despite the long history (in Internet time) and large number of applications that run the Internet, this approach for developing distributed applications wasn’t popular until recently. ...
Tool_RestService
04-03
伺服休息Desarrollado en Python come parte de un proyecto de ejemplo
Python库 | resf-0.1.1.tar.gz
03-10
python库。 资源全名:resf-0.1.1.tar.gz
pebble-ui:由RESF开发的基于Tailwind的干净UI框架
04-10
Pebble UI 使用构建的基于React的干净UI框架。启动开发服务器通过NPM安装依赖项。 npm i贡献我们欢迎您的贡献! 在提交请求请求之前,请参考我们的。
node-v4.8.6-win-x64.zip
05-07
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
基础运维技能(下)md格式笔记
05-07
基础运维技能(下)md格式笔记
node-v8.1.2-linux-armv7l.tar.xz
05-07
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
黑马程序员 C语言学习笔记
05-07
持续更新
PCL-1.14.1-AllInOne-msvc2022-win64+pdb-msvc2022-win64
05-07
PCL-1.14.1-AllInOne-msvc2022-win64+pdb-msvc2022-win64
DSmall商城系统源代码
最新发布
05-07
PC商城系统源码

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值