@User782
Кратко о себе

Как проверять авторизацию пользователя по REST API на хостинге?

Например на сайте это делается через сессии. На стороне сервера проверяем существует ли сессия, id которой мы получили их куки браузера. Если сессия существует, то юзер считается залогиненым.

А как дело обстоит через REST API в приложении?

1. Юзер зарегистрировался на сервере через REST API запросами GET/POST
- отправил почту имя пароль
2. Сервер принял данные занес а базу, запустил сессию и отправил сессию в ответ.
3. Приложение получило сессию, где-то сохранило

и как теперь проверять на сервере юзера, на предмет авторизации?

например надо зайти в профиль по REST API

я должен в запросе просто передать на сервер номер сессии и там уже смотреть существует ли такая сессия?

или всё происходит по другому в случае с приложением Android на Kotlin?
  • Вопрос задан
  • 79 просмотров
Пригласить эксперта
Ответы на вопрос 2
@Dmtm
Android
я должен в запросе просто передать на сервер номер сессии и там уже смотреть существует ли такая сессия?

да
PS: не встречал приложений с session id, везде использовали только токены
Ответ написан
@AlexVWill
При логине на сервере приложению направляется токен, со временем его жизни, заранее определенным настройками сервера (или клиента, если есть желание как то кастомизировать), далее при выполнении POST/GET на сервер приложение оперирует уже этим самым токеном. Кстати, токен может быть и не один, а несколько, и выбираться по некоторому алгоритму, т.ч. перехват токена не даст атакующему возможность его использовать долго, а при использовании невалидного токена он сразу же банится (или все токены пользователя), и нужна повторная авторизация.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы