これは多くの人にとって些細なことかもしれませんが、私のユースケースに適したフローを理解することができませんでした。モバイル アプリ (IOS および Android) 用の API を構築しています。ほとんどの Web アプリケーションと同様に、API には、ログインしたユーザーのみがアクセスできる特定の機能/ページ (Web サイトに関して) があります。セッションは通常、API 構造では推奨されないため、API でそのようなものを追跡する方法を知りたいです。私の質問は、それをどのように特定するかです:
- ユーザーはクライアント側からログインしています。そのため、ユーザーがユーザー名とパスワードを送信してログインすると、サーバー側はDBから検証した後、ユーザーを承認します。この時点で、将来の識別のために各要求で私に送信する必要があるクライアントに何を送信する必要がありますか?
- 実際のユーザーのリクエストを取得していることを確認します...たとえば、ユーザー A はユーザー B の情報を要求できません。言い換えれば、私が考えていることは、UserID (または暗号化も必要なトークン) に基づいて何かを行うと、誰かが何らかの方法で私のセキュリティを破り、別のユーザーの ID のコンテンツを要求できるということです...どのようにこれを確保しますか?
基本的に、ステートレスな方法で状態を維持するためのガイダンスを探しています。