我正在编写一个使用Rails的REST API服务器,关于会话管理有一个问题。
我认为对于REST API服务器,我们不需要为每个用户保存登录状态(或会话)。因此,我只为每个用户添加了身份验证令牌。如果他们登录,这个服务器将返回这个令牌给他们,如果注销,就销毁它。
我想知道是否有必要对销毁这个令牌的操作进行身份验证?可能会有恶意用户迭代所有可能的令牌(也许!)并将它们包装在一个DELETE请求中发送到我的服务器...
非常感谢!
我认为对于REST API服务器,我们不需要为每个用户保存登录状态(或会话)。因此,我只为每个用户添加了身份验证令牌。如果他们登录,这个服务器将返回这个令牌给他们,如果注销,就销毁它。
我想知道是否有必要对销毁这个令牌的操作进行身份验证?可能会有恶意用户迭代所有可能的令牌(也许!)并将它们包装在一个DELETE请求中发送到我的服务器...
非常感谢!