После создания базовой службы REST я подошел к точке, где было бы целесообразно добавить некоторую защиту паролей, так как мне нужно проверить, что мои пользователи правильно зарегистрированы и имеют достаточные разрешения для выполнения любых действия, которые они собираются сделать.
Служба REST будет доступна в основном из интерфейса Javascript-heavy и с учетом этого я придумал две следующие альтернативы, чтобы решить эту проблему:
-
Сделайте вход в систему, сначала отправив учетные данные на страницу
/login
с помощьюPOST
. На странице задается файл cookie сеанса, в котором пользователь отмеченные как зарегистрированные, вместе с уровнем разрешений. На каждого следующий запрос, я подтверждаю, что пользователь вошел в систему и его/ее уровень разрешений. Когда сеанс истекает, автоматически или вручную (выход из системы, пользователь должен будет выполнить повторный вход в систему). -
Временное сохранение учетных данных, хэшированных локально, и отправку учетных данных пользователей по каждому отдельному запросу пользователя, чтобы проверить учетные данные и полномочия на основе запроса для каждого запроса.
Есть ли еще способы решить эту проблему и есть ли что-то еще, что я должен беспокоить?