세션이 REST 인증에 사용됩니까?

Question

불편을 끼쳐 드려 죄송합니다. PHP에서 REST 인터페이스를 구현하려고 시도한 것은 이번이 처음입니다.

GET/ /user/{id}/friends 

은 항상 만 현재 인증 된 사용자에 의해 실행됩니다 : 어쨌든, HTTP 프로토콜의 비 정적 특성 때문에 가장 좋은 방법은 다음을 보장하기 위해 무엇입니까? 세션은 일반적으로 REST 액세스를 제한하는 방법으로 사용됩니까?

Answer 1

서버 측 쿠키 이상인 HTTP 세션을 사용할 수 있습니다. 그들은 대개 괜찮습니다. 그러나 최근 세션 하이재킹에 대한 많은보고가있었습니다. 그래서 내 대답은 당신이 정말로 걱정한다면 HMAC을 사용하는 것입니다. 설정하는 것은 까다 롭지 만 일단 메시지가 실제로 인증 된 사용자로부터 왔는지 확인할 수 있습니다.