我正在使用MEAN堆栈构建一个web应用程序。MEAN堆栈中的REST API,通过会话的id和id
在构建REST API我看到了很多的例子有以下端点
/api/contacts/:id
为GET,PUT和DELETE方法。
我做了一些不同的事情,我在Express框架中启用了会话,现在我可以在执行HTTP请求时使用req.session.req.payload._id查看用户文档ID(用于mongoDB),这使得我可以访问该文件。
那为什么我也不需要公开URL中的用户文档ID,当我做 一个HTTP请求。
我的问题是哪种方法更好更安全?
此外,我怎么能得到Angular中的用户ID传递给HTTP请求,以防我不使用会话。
最后一个......我也在调用更新数据库的函数之前使用JWT作为中间件。这给了我一些安全感,但是对于具有正确标记的用户来说,使用不同的ID来执行HTTP请求并获取,更新和删除其他用户数据是不可能的? 这对于我正在使用的当前方法(会话)来说是不可能的
嘿,为什么我需要“我”,如果我已经从会话中获得id?我想我可以将它保留为/ api/contacts,每个用户将根据会话获取请求的数据。另外我不需要用户访问其他用户的数据。对于我来说,允许用户使用他们想要的任何ID进行HTTP请求并不安全。 –