Я хотел бы знать, какой метод http мне следует использовать при выполнении запроса на вход и почему? Поскольку этот запрос создает объект (сеанс пользователя) на сервере, я думаю, что это должен быть POST, как вы думаете? Но поскольку запрос на вход в систему должен быть идемпотентным, он может быть PUT, не так ли?
Тот же вопрос для запроса на выход, следует ли использовать метод DELETE?
Ответы:
Если ваш запрос на вход осуществляется через пользователя, указывающего имя пользователя и пароль, то предпочтительнее использовать POST, так как детали будут отправлены в теле сообщения HTTP, а не в URL-адресе. Хотя он все равно будет отправляться в виде обычного текста, если вы не шифруете через https.
Метод HTTP DELETE - это запрос на удаление чего-либо на сервере. Я не думаю, что УДАЛЕНИЕ пользовательского сеанса в памяти действительно то, что было задумано; больше для удаления самой записи пользователя. Так что потенциально выход из системы может быть просто GET, например www.yoursite.com/logout.
Я считаю, что вы можете перевести методы LOGIN & LOGOUT в базовые операции CRUD CREATE & DELETE. Поскольку вы создаете новый ресурс с именем SESSION и уничтожаете его при выходе из системы:
Я бы никогда не стал выполнять LOGOUT как GET только потому, что кто-то может совершить атаку, просто отправив электронное письмо с тегом IMG или ссылку на веб-сайт, где существует такой тег IMG. ( <img src="youtsite.com/logout" />)
PS Долгое время мне было интересно, как бы вы создали RESTful вход / выход, и оказалось, что это действительно просто, вы делаете это так же, как я описал: используйте / session / endpoint с методами CREATE и DELETE, и все в порядке. Вы также можете использовать UPDATE, если хотите так или иначе обновить сеанс ...
Вот мое решение, основанное на руководствах и рекомендациях REST:
ВХОД - создать ресурс
Запрос:
POST => https://example.com/sessions/
BODY => {'login': 'login@example.com', 'password': '123456'}
Отклик:
http status code 201 (Created)
{'token': '761b69db-ace4-49cd-84cb-4550be231e8f'}
ВЫХОД - удалить ресурс
Запрос:
DELETE => https://example.com/sessions/761b69db-ace4-49cd-84cb-4550be231e8f/
Отклик:
http status code 204 (No Content)
Что касается метода выхода из системы:
В документации Spring (Java Framework) они заявляют, что запрос POST является предпочтительным, поскольку GET делает вас уязвимыми для CSRF (подделка межсайтовых запросов), и пользователь может выйти из системы.
Добавление CSRF обновит LogoutFilter, чтобы использовать только HTTP POST. Это гарантирует, что для выхода требуется токен CSRF и что злоумышленник не сможет принудительно выйти из системы.
Для входа в систему также следует использовать POST (тело может быть зашифровано, см. Другие ответы).
Для запроса входа мы должны использовать метод POST. Потому что наши данные для входа в систему защищены, что требует защиты. При использовании метода POST данные отправляются на сервер в пакете. Но в методе GET данные отправляются на сервер, за которым следует URL-адрес, например добавление с запросом URL-адреса, который будет виден всем.
Итак, для безопасной аутентификации и авторизации мы должны использовать метод POST.
Надеюсь, это решение вам поможет.
Благодарность
Для входа я использую POST, ниже мой код для метода LOGIN, который я использовал Nodejs с Express и Mongoose.
your router.js
const express = require("express");
const router = express.Router();
router.post("/login", login);
your controller.js
export.login = async(req, res) => {
//find the user based on email
const {email, password} = req.body;
try{
const user = awaitUser.findOne({email});
if(user==null)
return res.status(400).json({err : "User with
email doesnot exists.Please signup"});
}
catch(error){
return res.status(500).json({err :
error.message});
}
//IF EVERYTHING GOES FINE, ASSIGN YOUR TOKEN
make sure you have JWT installed
const token = jwt.sign({_id: user._id}, YOUR_SECRET_KEY);
res.cookie('t');
const {_id, name, email} = user;
return res.json({token, user : {_id, email, name}});
}