Я хотів би знати, який метод http я повинен використовувати, коли роблю запит на вхід, і чому? Оскільки цей запит створює об'єкт (сеанс користувача) на сервері, я думаю, це повинен бути POST, що ви думаєте? Але оскільки запит на вхід повинен бути ідемпотентним, це може бути PUT, чи не так?
Те саме питання щодо запиту на вихід, чи слід використовувати метод DELETE?
Відповіді:
Якщо ваш запит на вхід здійснюється через користувача, який вводить ім’я користувача та пароль, то переважнішим є POST, оскільки деталі будуть надсилатися в тілі повідомлень HTTP, а не в URL. Хоча він все одно буде надісланий звичайним текстом, якщо ви не шифруєте через https.
Метод HTTP DELETE - це запит на видалення чогось із сервера. Я не думаю, що ВИДАЛЕННЯ сеансу користувача в пам’яті насправді передбачається; більше це для видалення самого запису користувача. Тож потенційно вихід із системи може бути просто GET, наприклад www.yoursite.com/logout.
Я вважаю, що ви можете перевести методи LOGIN & LOGOUT в основні операції CRUD CREATE & DELETE. Оскільки ви створюєте новий ресурс під назвою SESSION і знищуєте його при виході з системи:
Я б ніколи не робив LOGOUT as GET, тому що кожен міг здійснити атаку, просто надіславши електронне повідомлення з тегом IMG або посиланням на веб-сайт, де такий тег IMG існує. ( <img src="youtsite.com/logout" />)
PS Довгий час мені було цікаво, як би ви створили RESTful вхід / вихід, і виявилося, що це дійсно просто, ви робите це так само, як я описав: використовуйте / сеанс / кінцеву точку з методами CREATE та DELETE, і у вас все добре. Ви також можете використовувати UPDATE, якщо хочете оновити сесію тим чи іншим способом ...
Ось моє рішення на основі посібників та рекомендацій REST:
ВХОД - створити ресурс
Запит:
POST => https://example.com/sessions/
BODY => {'login': 'login@example.com', 'password': '123456'}
Відповідь:
http status code 201 (Created)
{'token': '761b69db-ace4-49cd-84cb-4550be231e8f'}
LOGOUT - видалити ресурс
Запит:
DELETE => https://example.com/sessions/761b69db-ace4-49cd-84cb-4550be231e8f/
Відповідь:
http status code 204 (No Content)
Щодо методу виходу з системи:
У документації Spring (Java Framework) вони вказують, що перевага надається запиту POST, оскільки GET робить вас вразливими до CSRF (міжсайтової підробки запитів), і користувач може вийти з системи.
Додавання CSRF оновить LogoutFilter, щоб використовувати лише HTTP POST. Це гарантує, що для виходу потрібен маркер CSRF, а зловмисний користувач не може примусово вийти з системи.
Для входу також слід використовувати POST (тіло можна зашифрувати, див. Інші відповіді).
Для запиту на вхід слід використовувати метод POST. Оскільки наші дані для входу захищені, що потребує захисту. При використанні методу POST дані надсилаються на сервер у комплекті. Але в методі GET дані надсилаються на сервер, а потім URL-адреса, як додаток із запитом URL-адреси, який буде бачити кожен.
Отже, для безпечного процесу автентифікації та авторизації ми повинні використовувати метод POST.
Сподіваюся, це рішення допоможе вам.
Дякую
Для входу я використовую POST, нижче мій код для методу LOGIN. Я використовував Nodejs з Express та Mongoose
your router.js
const express = require("express");
const router = express.Router();
router.post("/login", login);
your controller.js
export.login = async(req, res) => {
//find the user based on email
const {email, password} = req.body;
try{
const user = awaitUser.findOne({email});
if(user==null)
return res.status(400).json({err : "User with
email doesnot exists.Please signup"});
}
catch(error){
return res.status(500).json({err :
error.message});
}
//IF EVERYTHING GOES FINE, ASSIGN YOUR TOKEN
make sure you have JWT installed
const token = jwt.sign({_id: user._id}, YOUR_SECRET_KEY);
res.cookie('t');
const {_id, name, email} = user;
return res.json({token, user : {_id, email, name}});
}