Как проверять авторизацию пользователя по REST API на хостинге?

Question

[Имя Фамилия]

del del del del deldel del del del deldel del del del deldel del del del deldel del del del del

Answer 1

[Dmtm]

я должен в запросе просто передать на сервер номер сессии и там уже смотреть существует ли такая сессия?

да
PS: не встречал приложений с session id, везде использовали только токены

Comments

[Имя Фамилия]

Спасибо. А скажите пожалуйста я не могу понять логику. Я передаю в POST запросе токен

а что происходит дальше не сервере?

если отправить токен то нужно каждый раз в базу лесть проверять?

сессии ведь без базы...

[Dmtm]

ну да, обычная работа с токеном - если время жизни не истекло то возвращается ответ, иначе - ошибка и перелогин
помню в одном из приложений все было серьезно - access-token и refresh-token,
а в другом хранили логин-пароль в shared preferences и был автологин, там токен в запросах использовался только для того чтобы логин-пароль каждый раз не отправлять

[Имя Фамилия]

Dmtm, спасибо за ответ.
но ведь токены это каждый раз в базе лезть?

или в данных примерах задача не стояла оптимизировать нагрузку?

[Dmtm]

Имя Имя Фамилия, это уже техническая задача, можно кешировать
база нужна чтобы по токену восстановить соединение когда андроид выкинет приложение из памяти и то, обычно хватает shared preferences с private mode

[Роман]

Имя Имя Фамилия, нет, токен это не каждый раз в базу лазить. грубо говоря у вас в токене записано имя пользователя, токен подписывается ключём секретным и все. сервер проверяет валидность токена и все и делает логин

https://habr.com/ru/articles/340146/

[Dmtm]

Роман, я все время смотрю со стороны андроида )

[Имя Фамилия]

Роман, так понимаю нужно просто проверять на валидность токен полученный от клиента на стороне сервера ?

[Роман]

Имя Имя Фамилия, да в большинстве фреймфорках уже готовые решения есть.