擅长:python、mysql、java
<p>理想情况下,用户ID、密钥和令牌是通过一些带外技术提供的,例如电子邮件、普通旧纸、网页(不可取)。客户端将使用提供的密钥对所有请求进行签名。在</p>
<p>登录不属于REST服务,REST服务根据定义是无状态的(它们不存储客户机的状态,这就是为什么要对每个请求进行身份验证)</p>
<p>我的建议是在与API本身不同的服务/网站上处理用户注册。在任何情况下,确保密钥/用户标识已发送出去。中间人攻击等可以伪造密钥,然后用它代表目标客户机签署API请求。在</p>