我想知道在执行登录请求时应该使用哪种http方法,为什么?由于此请求在服务器上创建了一个对象(用户会话),因此我认为应该是POST,您如何看待?但是由于登录请求应该是幂等的,所以可以是PUT,不是吗?
有关注销请求的相同问题,我应该使用DELETE方法吗?
Answers:
如果您的登录请求是通过提供用户名和密码的用户进行的,则最好使用POST,因为详细信息将在HTTP消息正文而不是URL中发送。尽管仍然会发送纯文本,除非您通过https加密。
HTTP DELETE方法是在服务器上删除某些内容的请求。我不认为删除内存中的用户会话确实是想要的。更多用于删除用户记录本身。因此,可能的注销可能只是一个GET,例如www.yoursite.com/logout。
我相信您可以将LOGIN&LOGOUT方法转换为基本的CRUD操作CREATE&DELETE。由于您要创建一个名为SESSION的新资源并在注销时销毁它:
我绝不会以GET身份登出,因为任何人都可以仅仅通过发送带有IMG标签的电子邮件或链接到存在IMG标签的网站来进行攻击。(<img src="youtsite.com/logout" />
)
PS很久以来,我一直在想如何创建RESTful登录/注销,事实证明这很简单,您就像我描述的那样进行操作:将/ session /端点与CREATE和DELETE方法一起使用就可以了。如果您想以一种或另一种方式更新会话,也可以使用UPDATE ...
这是我基于REST指南和建议的解决方案:
登录-创建资源
请求:
POST => https://example.com/sessions/
BODY => {'login': 'login@example.com', 'password': '123456'}
响应:
http status code 201 (Created)
{'token': '761b69db-ace4-49cd-84cb-4550be231e8f'}
注销-删除资源
请求:
DELETE => https://example.com/sessions/761b69db-ace4-49cd-84cb-4550be231e8f/
响应:
http status code 204 (No Content)
关于注销方法:
在Spring(Java Framework)文档中,他们指出首选POST请求,因为GET使您容易受到CSRF(跨站点请求伪造)的攻击,并且用户可能会注销。
添加CSRF会将LogoutFilter更新为仅使用HTTP POST。这样可以确保注销需要CSRF令牌,并且恶意用户不能强制注销用户。
请参阅:https : //docs.spring.io/spring-security/site/docs/current/reference/html/web-app-security.html#csrf-logout
登录还应该使用POST(可以加密主体,请参见其他答案)。
对于登录请求,我们应该使用POST方法。因为我们的登录数据是安全的,所以需要安全性。使用POST方法时,数据将成捆发送到服务器。但是在GET方法中,数据将被发送到服务器,然后是url,例如带有url request的追加,这将被所有人看到。
因此,对于安全的身份验证和授权过程,我们应该使用POST方法。
希望此解决方案对您有所帮助。
谢谢
对于登录,我使用POST,以下是我对Express和Mongoose使用Nodejs的LOGIN方法的代码
your router.js
const express = require("express");
const router = express.Router();
router.post("/login", login);
your controller.js
export.login = async(req, res) => {
//find the user based on email
const {email, password} = req.body;
try{
const user = awaitUser.findOne({email});
if(user==null)
return res.status(400).json({err : "User with
email doesnot exists.Please signup"});
}
catch(error){
return res.status(500).json({err :
error.message});
}
//IF EVERYTHING GOES FINE, ASSIGN YOUR TOKEN
make sure you have JWT installed
const token = jwt.sign({_id: user._id}, YOUR_SECRET_KEY);
res.cookie('t');
const {_id, name, email} = user;
return res.json({token, user : {_id, email, name}});
}