rest api验证

rest api验证

验证 往往跟具体业务需求挂勾，比方 有的需求没有安全验证的需要，那就完全不验证，毕竟 验证是要耗费资源的。

最简单的，就是在url里面传输加密字符串 验证。逻辑超简单：1）url没有加密字符串参数，拒绝服务 2）收到加密字符串，解密后验证，验证不通过，拒绝服务。也可以将加密验证字符串放 http request header里面。

具体到加密 又可以多种方式，比如：对request url进行某种不可逆加密算法。因为request url每次请求的参数会不同，所以能满足某些安全验证需求。

第二种 token验证。JSON Web Token。可以规定TOKEN的时效，未超时则不需要再次验证。

第3种 session验证，关键点是sessionID。

通用框架如果对这些验证全部实现演示一次，代码量肯定不少。现实中，比如淘宝某个API其实也只规定用某种验证。

结论：使用哪种REST API验证方式，最好是为具体需求而定制开发。