给客户端提供的接口,比如修改用户信息这种在 path 中使用用户 id 这种设计可取吗?
meshell · 2021-06-01 14:39:18 +08:00 · 1748 次点击这是一个创建于 1257 天前的主题,其中的信息可能已经有所发展或是发生改变。
如题比如 /user/1/update/info /user/1/modify/password
如果使用,在程序中是否还要判断 id 和 session 的 id 是否相等,还是不判断直接使用 session id 。只是作为一个 url 语义化.
 |
1
basefas 2021-06-01 14:43:46 +08:00
不需要,只需要判断是否有权限即可,比如一个系统中管理员可以改所有人的信息,此时就不能判断 user id 和 session 里的 id 是否一致
|
 |
2
Mitt 2021-06-01 14:46:19 +08:00
RESTful 是不把动词放路径里, 比如修改自己的 profile PUT /user/profile 或者 PATCH 这类的代替 /update/ 这个 path 同样如果是指定修改密码 /user/1/password 就可以了,但其实可以省略 /password 直接 PATCH 或者 PUT /user/1 就好了,鉴权的话该怎么鉴还是怎么鉴,如果只是改自己的信息,我就建议直接省略用户 ID
|
 |
3
IvanLi127 2021-06-01 14:46:52 +08:00
我的习惯是会要求在 url 上提供这个 id,因为接口也可能由管理员角色调用到。url 中取到的 id 会再和 session id 以及当前用户权限一起判断,这次请求是否合法。
如果不判断的话,调用方用的时候,发现能传其他 id 进来,结果改的信息还是自己的,这不就是两个 bug 嘛! |
 |
4
Godykc 2021-06-01 14:53:17 +08:00
不是对外接口就没啥问题,如果是对外接口,那潜台词就是可以通过这个接口得知你们公司的用户规模
|
|
10
IvanLi127 2021-06-01 15:12:54 +08:00
@meshell 如果不可能用到,建议去掉,反正你这个也不是 RESTful,自己规范好风格就行。或者 1 可以用其他词替代呀,比如 self,my 什么什么的。不然这个参数就显得很多余了,说不定会被喷不专业,居然要调用方传
|
 |
13
tomkliyes 2021-06-01 23:16:54 +08:00
不建议把用户 id 放在 path 中,如果是修改自己的信息,可以直接从 session 中取,如果是(管理员)修改他人信息,可以在 body 中传过来,也可以支持批量修改。
|
Select Language