PassportJS – GET请求中的login凭据?
我正在开发一个REST风格的Web应用程序。 我希望通过POST请求(请求正文中的用户名和密码)进行用户注册 ,并通过GET请求(查询中的用户名和密码)进行用户注册 。
PassportJS文档似乎表明,Passport希望凭证位于请求主体(它parsing的)中。 我不太明白它如何处理GET请求,因为他们没有机构(通常,如果我理解正确的话)。
我将如何做这项工作? 这是一个坏主意吗? 如果是的话,有没有一个RESTful的select?
是的,这是一个坏主意。 GET请求进入浏览器历史logging和服务器日志文件,在地址栏中可见,可以被代理caching等。这违反了HTTP语义和安全性。 只要按照行业最佳实践进行login,并节省能源,以build立您的实际应用程序。 如果它给了你一个温暖的模糊,你可以将一个login名作为一个会话资源的CREATE操作,根据REST通过一个POST请求完成。