擅长:python、mysql、java
<p>看起来你在auth表中创建了一个用户记录,很好。但是你在哪里登录用户?您使用的认证模型基本上是用户在UI中首先注册,然后使用用户ID和密码登录。在</p>
<p>这种授权方式对于REST客户机来说并不理想,原因有几个,其中一个原因是典型的REST客户机的行为不像浏览器,不维护cookies,因此无法维护会话。你可以要求你的REST客户端维护cookies,但这很奇怪。在</p>
<p>我建议使用为REST构建的授权框架。我们在3Scale上取得了很好的效果。这为您提供了一种定义用户及其权限的方法;提供了一个用户管理其帐户的门户(例如,可以重新颁发密钥);甚至可以访问API doco(如果您选择将其放在那里)。在</p>
<p>如果您不喜欢这种方法,可以考虑像Amazon那样为每个用户颁发公钥和私钥,并为客户机必须如何签署每个请求建立一个协议。您可能可以从开源的AWS工具中获取解决方案。在</p>
<p>简言之,您可能可以找到一种方法,使user auth framework对REST起作用,但是如果不这样做,您将获得更好的结果</p>