Bir giriş isteği yaparken hangi http yöntemini kullanmam gerektiğini bilmek istiyorum ve neden? Bu istek sunucuda bir nesne (bir kullanıcı oturumu) oluşturduğuna göre, POST olması gerektiğini düşünüyorum, ne düşünüyorsunuz? Ancak giriş isteğinin idempotent olması gerektiğinden, PUT olabilir, değil mi?
Çıkış isteği için aynı soru, DELETE yöntemini kullanmalı mıyım?
Yanıtlar:
Oturum açma talebiniz, bir kullanıcı adı ve şifre sağlayan bir kullanıcı aracılığıyla ise, ayrıntılar URL yerine HTTP mesajları gövdesinde gönderileceği için bir POST tercih edilir. Yine de, https ile şifrelemediğiniz sürece düz metin olarak gönderilecektir.
HTTP DELETE yöntemi, sunucudaki bir şeyi silme isteğidir. Bir bellek içi kullanıcı oturumunu SİLMENİN gerçekten amaçlanan şey olduğunu düşünmüyorum; dahası kullanıcı kaydının kendisini silmek içindir. Dolayısıyla, potansiyel olarak çıkış yalnızca bir GET olabilir, örneğin www.yoursite.com/logout.
LOGIN & LOGOUT yöntemlerini temel CRUD işlemlerine çevirebileceğinize inanıyorum CREATE & DELETE. SESSION adında yeni bir kaynak oluşturduğunuz ve oturumu kapatırken onu yok ettiğiniz için:
GET olarak asla LOGOUT yapmam çünkü herhangi biri sadece IMG etiketi içeren bir e-posta göndererek veya böyle bir IMG etiketinin bulunduğu web sitesine bağlantı göndererek saldırı yapabilir. ( <img src="youtsite.com/logout" />)
PS Uzun zamandır RESTful oturum açma / kapatma işlemini nasıl oluşturacağınızı merak ediyordum ve gerçekten basit olduğu ortaya çıktı, aynen anlattığım gibi yaparsınız: CREATE ve DELETE yöntemleriyle / session / endpoint kullanın ve iyisiniz. Oturumu bir şekilde güncellemek istiyorsanız GÜNCELLE'yi de kullanabilirsiniz ...
İşte REST kılavuzlarına ve önerilerine dayanan çözümüm:
GİRİŞ - bir kaynak oluştur
İstek:
POST => https://example.com/sessions/
BODY => {'login': 'login@example.com', 'password': '123456'}
Tepki:
http status code 201 (Created)
{'token': '761b69db-ace4-49cd-84cb-4550be231e8f'}
LOGOUT - bir kaynağı silin
İstek:
DELETE => https://example.com/sessions/761b69db-ace4-49cd-84cb-4550be231e8f/
Tepki:
http status code 204 (No Content)
Oturumu kapatma yöntemiyle ilgili olarak:
İlkbahar (Java Framework) belgelerinde, bir GET sizi CSRF'ye (Siteler Arası İstek Sahteciliği) karşı savunmasız bıraktığı ve kullanıcının oturumu kapatılabileceği için bir POST isteğinin tercih edildiğini belirtirler.
CSRF eklendiğinde LogoutFilter yalnızca HTTP POST kullanacak şekilde güncellenir. Bu, çıkış yapmanın bir CSRF belirteci gerektirmesini ve kötü niyetli bir kullanıcının kullanıcılarınızdan zorla çıkış yapamamasını sağlar.
Oturum açarken de POST kullanılmalıdır (gövde şifrelenebilir, diğer yanıtlara bakın).
Giriş isteği için POST yöntemini kullanmalıyız. Çünkü oturum açma verilerimiz güvende ve güvenlik gerektiriyor. POST yöntemi kullanıldığında, veriler bir paket halinde sunucuya gönderilir. Ancak GET yönteminde veriler sunucuya gönderilir ve ardından url, herkesin görebileceği url isteği ile eklenir.
Bu nedenle, güvenli kimlik doğrulama ve yetkilendirme süreci için POST yöntemini kullanmalıyız.
Umarım bu çözüm size yardımcı olur.
Teşekkürler
Giriş için POST kullanıyorum, aşağıdaki LOGIN yöntemi kodum Nodejs'i Express ve Mongoose ile kullandım
your router.js
const express = require("express");
const router = express.Router();
router.post("/login", login);
your controller.js
export.login = async(req, res) => {
//find the user based on email
const {email, password} = req.body;
try{
const user = awaitUser.findOne({email});
if(user==null)
return res.status(400).json({err : "User with
email doesnot exists.Please signup"});
}
catch(error){
return res.status(500).json({err :
error.message});
}
//IF EVERYTHING GOES FINE, ASSIGN YOUR TOKEN
make sure you have JWT installed
const token = jwt.sign({_id: user._id}, YOUR_SECRET_KEY);
res.cookie('t');
const {_id, name, email} = user;
return res.json({token, user : {_id, email, name}});
}