新来的技术总监计划将之前的 mvc 架构做成 restful api ，小弟不才，然后我发现我登录都不会写了，

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 2990 天前的主题，其中的信息可能已经有所发展或是发生改变。

请教大家一个完全的登录的 restful api 大概是怎样的，www.aaa.com/v1/username/lisi/pwd/123456 类似这样吗，看了网上的 restful 解释都是一个参数的，俩参数我就懵逼了，特此求教大家，

第 1 条附言 2017-10-19 20:05:26 +08:00

谢谢大家答疑解惑，祝福大家工作愉快!

RESTful

API

参数

MVC

59 条回复 2017-10-20 11:35:16 +08:00

kindjeff

2017-10-18 22:14:18 +08:00

登陆要啥 restful

matsuijurina

2017-10-18 22:14:59 +08:00 via iPad

并不是替换的关系，还是 mvc，只是 v 这一层只需要输出 json 了。restful api 具体怎么写参考新浪微博的 api 文档，那个很全面。

mune

2017-10-18 22:16:30 +08:00

@kindjeff 我不大懂，也不知道需要不需要，（苦笑），

qiukun

2017-10-18 22:37:08 +08:00

对 session 资源的 new create delete

leeg810312

2017-10-18 22:42:53 +08:00

按 restful 风格，登录是创建 session，所以是 post /session，提交数据 username 和 password，返回 Token，注册是创建 user，所以是 post /user

mune

2017-10-18 22:46:31 +08:00

@leeg810312 您能示范一下登陆的 url 大概是怎样的吗，

timothyye

2017-10-18 22:49:01 +0800 via Android

建议登录最好是 post，不要用 get，并且最好不要把用户名和密码放在 url 里面

yxzhm

2017-10-18 22:50:53 +08:00

@mune 用户名和密码不会出现在浏览器 URL 里，可以是前端框架去调用后面的一个 URL.可以参考下面这个源代码中的 Login 方法
https://github.com/CG542/WebDP/blob/master/dist/js/app.js

newghost

2017-10-18 23:30:32 +08:00

www.aaa.com/api/user/login/lisi/123456

服务器 /api/user/login/:username/:password

zapper

2017-10-18 23:37:53 +08:00

类似于 oauth 那样吧，post 用户名密码得到 token，以 token 作为登录凭证

seeker

2017-10-18 23:49:24 +08:00

恕我直言，这只是形式上的 restful
不是吧 username=xxx&pwd=yyy 改成 username/xxx/pwd/yyy 就是 restful 的

k9982874

2017-10-19 00:04:24 +08:00

先抽象出登录时使用的资源：session
然后按照 restful 语义对 session 进行操作
登录 POST /api/user/session
登出 DELETE /api/user/session
刷新 session PUT /api/user/session

hheedat

2017-10-19 00:08:59 +08:00

@seeker restful 的内涵思想是啥？

hicair

2017-10-19 00:20:39 +08:00

登录密码直接写 url 里大丈夫？？

mlyy

2017-10-19 02:13:22 +08:00

@hicair 如果使用了 https，为什么不行？

Sapp

2017-10-19 02:21:03 +08:00 via Android

我至今都不是很明白 restful 除了换个请求方式，改一下链接形式以外和正常有啥区别，不都一样开发吗？

huntzhan

2017-10-19 03:33:10 +08:00

登录态基本不能用 REST 的思想来做。一般来说，REST 的 API 应该存在于完成 Authentication、拿到 token 之后（不考虑 read-only、非敏感部分的的 API ）。

precisi0nux

2017-10-19 04:04:19 +08:00 via iPhone

@mlyy https 不能加密 URL 吧……

biggun

2017-10-19 04:52:30 +08:00

登录过程不适合用 restful，或者说和 restful 是两种不同的概念，restful （具象状态传输）是制定针对系统资源进行操作方法的一种风格。 @huntzhan 说的对啊，就是用登录过程获取一个 session （产生个 jwt 之类的东西）,然后在此基础上利用 restful 风格的 api 对系统资源进行操作.

dangyuluo

2017-10-19 04:53:37 +08:00

不适合 Restful 的地方不要强上啊。。

dangyuluo

2017-10-19 04:54:07 +08:00

@precisi0nux https 当然可以加密 url，只是现代浏览器都会发送一个明文的 hosts

cljnnn

2017-10-19 05:33:07 +08:00 via Android

@precisi0nux 能加密，但是在 Nginx 日志中，这个 URL 是明文的，所以传密码还是用 post 吧。

lightening

2017-10-19 05:38:59 +08:00

@hheedat RESTful 的内涵思想是把所有操作抽象成对于一种对象（ resource ）的增删查改。

如登录、登出就是对于虚拟资源 session 的增加 /删除。
创建、删除用户是对于实体资源 user 的增加 /删除。

目前见到讲的最好的是 Rails 作者 DHH 的演讲：

lightening

2017-10-19 05:39:37 +08:00

@mlyy 因为站在你后面的人会在地址栏看到你的密码？

darklowly

2017-10-19 05:47:01 +08:00

http://www.ruanyifeng.com/blog/2011/09/restful.html

print1024

2017-10-19 07:33:04 +08:00

现在很多人在用 Facebook 的 GraphQL 来写 API，完善了很多 Restful 中的问题，你可以参考下[GraphQL 中文网]( http://graphql.cn/)

Phariel

2017-10-19 07:53:46 +08:00 via Android

oauth 2.0

laogui

2017-10-19 08:10:18 +08:00 via Android

都 restful 了就不要用 session 了，用 OAuth2.0 或者 jwt 做认证吧。

nl101531

2017-10-19 08:25:12 +08:00 via Android

这密码都放到链接中啊，肯定不行，就 post 请求 login，密码放到 body 中。

justfindu

2017-10-19 08:36:55 +08:00

restful 也就是给你一个语义规范该 post 就 post 该 get 就 get 用户认证#28 楼其他就是 V 层不返回模板返回数据就可以了. 除了用户认证需要修改其他都无需动吧如果是比较标准的 mvc 的情况

zjsxwc

2017-10-19 08:45:24 +08:00

MVC 里的 V 从 html 变成 json, 没有本质变化
原来的 session 变成 token, 其实仍旧没有本质变化

googlebot

2017-10-19 08:48:25 +08:00 via iPad

rest 是扩展 http，http 只有 get，post，rest 实现 delete，update，
rest 的好处，uri 很少更改，数据和界面更加分离，

yulitian888

2017-10-19 08:55:45 +08:00

restful 适合做无状态的业务，登录真不合适
就这个例子而言，且不论 Post 和 Get 的区别，仅仅只是把 API 地址暴露给公网用户就已经属于非常危险的行为了。
一个黑客只需要知道登录的地址，经过简单的猜测（连猜都不需要吧？）就可以知道 Session 的增删改查（其他资源同理），这么做好吗？

TimRChen

2017-10-19 09:16:16 +08:00

试试 JWT?

wizardoz

2017-10-19 09:37:24 +08:00

@googlebot HTTP 一直都有 GET POST PUT PATCH DELETE OPTION 等等功能码，但是以前的开发模式通常都只用 GET 和 POST。这其实算是一种滥用，用 GET 来实现 DELETE 功能码该做的事，感觉有点说不过去。REST 只是建议充分使用 HTTP 功能码的定义上的功能，GET 获取、POST 新增、PUT 和 PATCH 修改、DELETE 删除、OPTION 看资源支持哪些操作。

Kilerd

2017-10-19 09:52:37 +08:00

楼上那些说把用户名密码放在 URL 里面，而不是 post data 里面的，真的有用过 restful 来写过登陆功能吗？

xrlin

2017-10-19 10:37:52 +08:00 via iPhone

@Kilerd 估计他们将 https 的作用范围理解错了

TuringGooner

2017-10-19 10:42:54 +08:00

POST /api/session 这样写登录，然后把用户名密码放在 body 里

实际上就是创建一个 session 资源，返回一个 token 给客户端当作登录凭证

duan602728596

2017-10-19 10:50:45 +08:00 via iPhone

最后坑的还是前端，哎......

blacklee

2017-10-19 11:07:16 +08:00

1. MVC 和 RESTFul 两者是风马牛不相及的东西，不要混为一谈：
- 1.1 MVC 是代码构架上的一种设计模式，用户是看不到这东西的
- 1.2 RESTFul 是一种对资源的抽象，对用户而言最明显的就是 URL 风格的改变
2. 不管你是用什么七七八八的鬼框架鬼模式，只要涉及到敏感数据的传输，都应该是用 POST 把敏感数据放在 request body 里

mikulch

2017-10-19 11:20:50 +08:00

https://mikumikulch.gitbooks.io/chucklin_blog/content/mian-xiang-gong-cheng-shi-de-she-ji-zhi-nan-shi-yao-shi-hao-de-web-api-de-she-ji.html

https://mikumikulch.gitbooks.io/chucklin_blog/content/mian-xiang-gong-cheng-shi-de-she-ji-zhi-nan-web-api-de-qing-qiu-yu-xiang-ying.html

肯这两篇博客你就懂了。

Kilerd

2017-10-19 11:25:36 +08:00

@mikulch 静态博客 URL 地址是文章标题的拼音。你是我碰到的第一个。

skadi

2017-10-19 11:29:22 +08:00

ls+1

prasanta

2017-10-19 11:29:30 +08:00 via iPhone

post /auth/token/
post /auth/session/
post /auth/oauth/

哪里行么？

solee

2017-10-19 11:30:59 +08:00

restful 就是一种 api 设计的理念，不过如何使用还是要结合你自己的业务。没有完美的标准，只有最适合的标准。

http://mp.weixin.qq.com/s/AhiyMnJ70TkOMnmkXG1Lsw 这篇文章讲得很有道理

我们的 api 设计也一直都是这么做的

smgui

2017-10-19 11:58:59 +08:00

@k9982874 赞同

smgui

2017-10-19 11:59:48 +08:00

@blacklee 是啊，问题问的就很奇怪

siteshen

2017-10-19 13:16:06 +08:00

登录和其他不一样，不需要死搬硬套，给几个我一直在使用的 API 设计示例：
{
"meta:" {"success": true},
"data": {},
}

登录 POST /auth/login {"username": "", "password": ""} -> {"token": ""}

读取我的信息 GET /me/profile -> {"me": {}}
读取用户信息 GET /users/1024/profile -> {"user": {}}

关注用户 POST /users/1024/follow
用户关注列表 GET /users/1024/following-user -> {"users": []}