Вопросы по REST API?

Question

[imagance]

Здравствуйте, мой вопрос скорее всего глупый и я плохо искал ответы, но скажите:
1. для передачи json в api обязательно использовать ссылку на страницу с json или как то можно передать json прямо в html. Напрмер:
не так
api - json
test - html страница,

а что бы было так
test - json и html страница

2. Например у роли админа есть кнопка, которая должна отображаться, а у простого пользователя не должна отображаться как по REST это должно быть реализовано? То есть клиент делает запрос на роль к бэкенду и и затем в зависимости от ответа показать или спрятать кнопку через display: block/none.

3. Как правильно должна осуществляться проверка авторизации пользователя? Я слышал, что в бд должно создаваться поле, где хранится токен авторизации и удалятся если запроса на токен давно не было. Но что если использовать сессии? Это сильно нарушит REST?

4. Как сделать защиту csrf в api?

Извините, что отнимаю ваше время такими глупыми вопросами, но я не могу найти подробную и понятную информацию на эту тему.

Answer 1

[Дмитрий Беляев]

Во-первых, REST - это не стандарт, не строгие правила, это рекомендации.
Вся суть этих рекомендаций сводится к двум вещам:
- Каждый ресурс (документ, данные о сущности) имеет свой собственный URI
- Для каждого действия с ресурсом предлагается в соответствие свой HTTP метод запроса

Теперь по вопросам:
1. Если данные json и html - это просто разные представления одного ресурса, то они вполне могут жить на одном URI. Например разное представление отдается в зависимости от HTTP заголовка Accept.
2. REST никак не регламентирует, как Вам строить приложение. Это может быть отдельный запрос к сущности "роль" или быть частью сущности "пользователь", решать Вам.
3. Опять же, REST тут вообще не причем. В REST нет никаких БД, сессий или еще чего либо, что Вы там под капотом используете инкапсулировано от клиента.
4. CSRF делается как и в любом другом случае. Вот статья есть: https://habr.com/ru/post/318748/

Comments

[imagance]

Спасибо большое!

[imagance]

Скажите, пожалуйста, как отправить json прямо в html. У меня работает только если получать json по другой ссылке.

[Дмитрий Беляев]

imagance, проще всего, просто вставить script, в котором json сохраняется в глобальную переменную. Любой json - это валидный js. Правда делать так можно, только если доверяете тому кто генерирует json, а то так можно и что-то вредное исполнить.
Чуть заморочнее вариант, это вставить json как есть в тег script, но задать ему type="text/json" и некий id, а потом прочитать его скриптом. Браузер проигнорирует тег script с неизвестным ему type

[imagance]

Дмитрий Беляев, ну это уже костыли) мне просто кажется, что передача через ссылку не безопасна, даже при jwt