Как проверять авторизацию пользователя по REST API на хостинге?
Например на сайте это делается через сессии. На стороне сервера проверяем существует ли сессия, id которой мы получили их куки браузера. Если сессия существует, то юзер считается залогиненым.
А как дело обстоит через REST API в приложении?
1. Юзер зарегистрировался на сервере через REST API запросами GET/POST
- отправил почту имя пароль
2. Сервер принял данные занес а базу, запустил сессию и отправил сессию в ответ.
3. Приложение получило сессию, где-то сохранило
и как теперь проверять на сервере юзера, на предмет авторизации?
например надо зайти в профиль по REST API
я должен в запросе просто передать на сервер номер сессии и там уже смотреть существует ли такая сессия?
или всё происходит по другому в случае с приложением Android на Kotlin?
ну да, обычная работа с токеном - если время жизни не истекло то возвращается ответ, иначе - ошибка и перелогин
помню в одном из приложений все было серьезно - access-token и refresh-token,
а в другом хранили логин-пароль в shared preferences и был автологин, там токен в запросах использовался только для того чтобы логин-пароль каждый раз не отправлять
Имя Имя Фамилия, это уже техническая задача, можно кешировать
база нужна чтобы по токену восстановить соединение когда андроид выкинет приложение из памяти и то, обычно хватает shared preferences с private mode
Имя Имя Фамилия, нет, токен это не каждый раз в базу лазить. грубо говоря у вас в токене записано имя пользователя, токен подписывается ключём секретным и все. сервер проверяет валидность токена и все и делает логин