RESTFULL API가 최종 사용자를 인증하는 방법은 무엇입니까?

Question

웹 프런트 엔드가있는 REST API를 구축해야합니다 (나중에 모바일이 될 예정 임).

최종 사용자를 위해 인증 및 세션 관리를 어떻게 관리해야하는지 혼동합니다.

나는 API가 2 가지 종류의 인증을 가지고 있다는 것을 알고있다. 프런트 엔드는 기계 접근 방식을 사용하지만, REST 디자인보다 덜한 상태에 따라 어떻게 할 수 있는가? 사용자 인증을합니까?

프런트 엔드에서 사용자 세션 관리를 처리해야합니까? 모든 요청에 ​​사용자 아이디와 비밀번호를 보내야합니까?

이 주제에 대해 매우 혼란 스럽습니다.

도움 주셔서 감사합니다.

Answer 1

예. 프런트 엔드에서 사용자 세션 관리를 처리해야합니다. 사용자가 로그인하면 pwd와 id를 api로 보냅니다. api는 사용자 (사용자에 대해 필요한 모든 것 - 다음 작업에서 사용자를 식별하는 데 사용하는 일종의 사용자 토큰도 포함해야 함)을 반환합니다. 이 프로세스는 세션에서 사용자를 저장하기 때문에 한 번만 수행됩니다. 사용자가 로그 아웃하면 세션을 삭제하기 만하면됩니다.

그래서 기본적으로 id + pwd가 api로 전송됩니다. API는 사용자 토큰을 가진 사용자를 반환합니다. 그런 다음 요청할 때마다 사용자 토큰을 api로 보내 어떤 사용자가 무엇을하는지 알고 백엔드에서이를 처리 할 수 ​​있습니다.