Как проверять авторизацию пользователя по REST API на хостинге?

Question

[Имя Имя Фамилия]

Например на сайте это делается через сессии. На стороне сервера проверяем существует ли сессия, id которой мы получили их куки браузера. Если сессия существует, то юзер считается залогиненым.

А как дело обстоит через REST API в приложении?

1. Юзер зарегистрировался на сервере через REST API запросами GET/POST
- отправил почту имя пароль
2. Сервер принял данные занес а базу, запустил сессию и отправил сессию в ответ.
3. Приложение получило сессию, где-то сохранило

и как теперь проверять на сервере юзера, на предмет авторизации?

например надо зайти в профиль по REST API

я должен в запросе просто передать на сервер номер сессии и там уже смотреть существует ли такая сессия?

или всё происходит по другому в случае с приложением Android на Kotlin?

Answer 1

[Dmtm]

я должен в запросе просто передать на сервер номер сессии и там уже смотреть существует ли такая сессия?

да
PS: не встречал приложений с session id, везде использовали только токены

Comments

[Имя Имя Фамилия]

Спасибо. А скажите пожалуйста я не могу понять логику. Я передаю в POST запросе токен

а что происходит дальше не сервере?

если отправить токен то нужно каждый раз в базу лесть проверять?

сессии ведь без базы...

[Dmtm]

ну да, обычная работа с токеном - если время жизни не истекло то возвращается ответ, иначе - ошибка и перелогин
помню в одном из приложений все было серьезно - access-token и refresh-token,
а в другом хранили логин-пароль в shared preferences и был автологин, там токен в запросах использовался только для того чтобы логин-пароль каждый раз не отправлять

[Имя Имя Фамилия]

Dmtm, спасибо за ответ.
но ведь токены это каждый раз в базе лезть?

или в данных примерах задача не стояла оптимизировать нагрузку?

[Dmtm]

Имя Имя Фамилия, это уже техническая задача, можно кешировать
база нужна чтобы по токену восстановить соединение когда андроид выкинет приложение из памяти и то, обычно хватает shared preferences с private mode

[Роман]

Имя Имя Фамилия, нет, токен это не каждый раз в базу лазить. грубо говоря у вас в токене записано имя пользователя, токен подписывается ключём секретным и все. сервер проверяет валидность токена и все и делает логин

https://habr.com/ru/articles/340146/

[Dmtm]

Роман, я все время смотрю со стороны андроида )

[Имя Имя Фамилия]

Роман, так понимаю нужно просто проверять на валидность токен полученный от клиента на стороне сервера ?

[Роман]

Имя Имя Фамилия, да в большинстве фреймфорках уже готовые решения есть.

Answer 2

[AlexVWill]

При логине на сервере приложению направляется токен, со временем его жизни, заранее определенным настройками сервера (или клиента, если есть желание как то кастомизировать), далее при выполнении POST/GET на сервер приложение оперирует уже этим самым токеном. Кстати, токен может быть и не один, а несколько, и выбираться по некоторому алгоритму, т.ч. перехват токена не даст атакующему возможность его использовать долго, а при использовании невалидного токена он сразу же банится (или все токены пользователя), и нужна повторная авторизация.