ฉันกำลังสร้าง REST api ที่ซึ่งลูกค้าได้รับการรับรองความถูกต้องโดยใช้ใบรับรองลูกค้า ลูกค้าในกรณีนี้ไม่ใช่ผู้ใช้รายบุคคล แต่เป็นเลเยอร์การนำเสนอบางประเภท ผู้ใช้จะได้รับการรับรองความถูกต้องโดยใช้วิธีการที่กำหนดเองและเป็นความรับผิดชอบของเลเยอร์การนำเสนอเพื่อดูว่าสิ่งนี้ทำถูกต้องแล้ว (หมายเหตุ: ฉันรู้ว่านี่ไม่ใช่วิธีการที่เหมาะสม แต่ api นั้นไม่ใช่สาธารณะ)
ฉันต้องการส่งชื่อผู้ใช้สำหรับแต่ละคำขอ (ไม่ใช่รหัสผ่าน) แต่ฉันไม่แน่ใจว่าจะทำเช่นไร เป็นความคิดที่ดีที่จะใช้ส่วนหัวการให้อนุญาตหรือไม่
คำตอบ:
การใช้หัวข้อการให้สิทธิ์ดูเหมือนว่าเป็นสิ่งที่ถูกต้อง เป็นวัตถุประสงค์ทั้งหมดของส่วนหัวการให้สิทธิ์
จากhttp://tools.ietf.org/html/rfc7235#section-4.2 :
ฟิลด์ส่วนหัว "การอนุญาต" อนุญาตให้ตัวแทนผู้ใช้รับรองความถูกต้องตัวเองกับเซิร์ฟเวอร์ต้นทาง - ปกติ แต่ไม่จำเป็นว่าหลังจากได้รับการตอบสนอง 401 (ไม่ได้รับอนุญาต) ค่าประกอบด้วยข้อมูลรับรองที่มีข้อมูลการรับรองความถูกต้องของตัวแทนผู้ใช้สำหรับขอบเขตของทรัพยากรที่ต้องการ
หากคุณมีเอกสารรับรองความถูกต้องของคุณเอง แต่ไม่จำเป็นต้องบูรณาการล้อ
ฉันจะไม่แนะนำให้คุณใช้ส่วนหัว HTTP มาตรฐานที่ไม่เป็นมาตรฐาน ส่วนใหญ่เป็นเพราะมันอาจทำให้เข้าใจผิดกับนักพัฒนาอื่น ๆ ที่รู้ว่าAuthoriziationส่วนหัวมีความหมายว่าจะใช้ในการตรวจสอบ HTTP แต่ยังเพื่อหลีกเลี่ยงปัญหาที่อาจเกิดขึ้นกับส่วนอื่น ๆ ของสแต็คของคุณมีการรับรู้ที่ขัดแย้งกัน
ไม่ว่าในกรณีใดจะไม่มีสิ่งใดขัดขวางคุณให้ใช้X-Authorization-Userส่วนหัวที่กำหนดเองและไม่ได้มาตรฐานโดยเฉพาะสำหรับวัตถุประสงค์ของคุณ
X-ส่วนหัวที่ขึ้นต้นด้วย หากคุณจะใช้ส่วนหัวมาตรฐานอย่าใช้เพื่อสิ่งที่ผิดปกติหรือไม่คาดคิด