मैं यह जानना चाहूंगा कि लॉगिन अनुरोध करते समय मुझे कौन सी http विधि का उपयोग करना चाहिए, और क्यों? चूंकि यह अनुरोध सर्वर पर ऑब्जेक्ट (उपयोगकर्ता सत्र) बनाता है, मुझे लगता है कि यह POST होना चाहिए, आप क्या सोचते हैं? लेकिन चूँकि लॉगिन अनुरोध निष्प्रभावी होना चाहिए, इसलिए यह PUT हो सकता है, नहीं?
लॉगआउट अनुरोध के लिए समान प्रश्न, क्या मुझे DELETE पद्धति का उपयोग करना चाहिए?
जवाबों:
यदि आपका लॉगिन अनुरोध उपयोगकर्ता नाम और पासवर्ड की आपूर्ति करने वाले उपयोगकर्ता के माध्यम से है, तो एक POST बेहतर है, क्योंकि विवरण URL के बजाय HTTP संदेश निकाय में भेजे जाएंगे। यद्यपि यह तब भी सादा पाठ भेजा जाएगा, जब तक आप https के माध्यम से एन्क्रिप्ट नहीं कर रहे हैं।
HTTP DELETE विधि सर्वर पर कुछ हटाने का अनुरोध है। मुझे नहीं लगता कि स्मृति उपयोगकर्ता सत्र में DELETING वास्तव में वही है जो इसका उद्देश्य है; अधिक यह उपयोगकर्ता रिकॉर्ड को हटाने के लिए ही है। तो संभावित लॉगआउट सिर्फ एक GET हो सकता है जैसे www.yoursite.com/logout।
मेरा मानना है कि आप लॉग इन कर सकते हैं और लॉग इन कर सकते हैं और बुनियादी सीआरयूडी ऑपरेशंस क्रिएट और DELETE में तरीकों का इस्तेमाल कर सकते हैं। चूंकि आप एक नया संसाधन बना रहे हैं जिसे सत्र कहा जाता है और इसे लॉग आउट करते समय नष्ट कर दिया जाता है:
मैं जीईटी के रूप में कभी भी लॉग इन नहीं करूंगा क्योंकि कोई भी केवल आईएमजी टैग के साथ एक ईमेल भेजकर या वेबसाइट पर लिंक भेजकर हमला कर सकता है जहां इस तरह का आईएमजी टैग मौजूद है। ( <img src="youtsite.com/logout" />)
PS लंबे समय से मैं सोच रहा था कि आप एक RESTful लॉगिन / लॉगआउट कैसे बनायेंगे और यह पता चला कि यह वास्तव में सरल है, आप इसे वैसे ही करते हैं जैसे मैंने वर्णित किया: क्री / डेलिकेट विधियों के साथ उपयोग / सत्र / समापन बिंदु और आप ठीक हैं। यदि आप सत्र को एक या दूसरे तरीके से अपडेट करना चाहते हैं तो आप UPDATE का उपयोग कर सकते हैं ...
यहाँ मेरा समाधान REST गाइड और सिफारिशों पर आधारित है:
लॉगिन - एक संसाधन बनाएँ
निवेदन:
POST => https://example.com/sessions/
BODY => {'login': 'login@example.com', 'password': '123456'}
उत्तर:
http status code 201 (Created)
{'token': '761b69db-ace4-49cd-84cb-4550be231e8f'}
लॉग इन करें - एक संसाधन हटाएं
निवेदन:
DELETE => https://example.com/sessions/761b69db-ace4-49cd-84cb-4550be231e8f/
उत्तर:
http status code 204 (No Content)
लॉग आउट करने की विधि के बारे में:
स्प्रिंग (जावा फ्रेमवर्क) प्रलेखन में, वे कहते हैं कि एक POST अनुरोध को प्राथमिकता दी जाती है, क्योंकि एक GET आपको CSRF (क्रॉस-साइट रिक्वेस्ट फॉरगिरी) के लिए असुरक्षित बनाता है और उपयोगकर्ता को लॉग आउट किया जा सकता है।
CSRF को जोड़ना केवल लॉगआउट HTTP POST का उपयोग करने के लिए LogoutFilter को अपडेट करेगा। यह सुनिश्चित करता है कि लॉग आउट के लिए CSRF टोकन की आवश्यकता होती है और यह दुर्भावनापूर्ण उपयोगकर्ता आपके उपयोगकर्ताओं को जबरन लॉग आउट नहीं कर सकता है।
लॉग इन करना भी POST का उपयोग करना चाहिए (शरीर एन्क्रिप्ट किया जा सकता है, अन्य उत्तर देखें)।
लॉगिन अनुरोध के लिए हमें POST विधि का उपयोग करना चाहिए। क्योंकि हमारा लॉगिन डेटा सुरक्षित है जिसे सुरक्षा की आवश्यकता है। POST विधि का उपयोग करते समय डेटा एक बंडल में सर्वर को भेजा जाता है। लेकिन GET मेथड डेटा को सर्वर द्वारा भेजा जाता है और उसके बाद url जैसे url request के साथ append किया जाता है जो सभी को दिखाई देगा।
तो सुरक्षित प्रमाणीकरण और प्राधिकरण प्रक्रिया के लिए हमें POST विधि का उपयोग करना चाहिए।
मुझे उम्मीद है कि यह समाधान आपकी मदद करेगा।
धन्यवाद
लॉगिन के लिए मैं POST का उपयोग करता हूं, नीचे मेरा कोड है LOGIN विधि के लिए मैंने एक्सप्रेस और Mongoose के साथ Nodejs का उपयोग किया
your router.js
const express = require("express");
const router = express.Router();
router.post("/login", login);
your controller.js
export.login = async(req, res) => {
//find the user based on email
const {email, password} = req.body;
try{
const user = awaitUser.findOne({email});
if(user==null)
return res.status(400).json({err : "User with
email doesnot exists.Please signup"});
}
catch(error){
return res.status(500).json({err :
error.message});
}
//IF EVERYTHING GOES FINE, ASSIGN YOUR TOKEN
make sure you have JWT installed
const token = jwt.sign({_id: user._id}, YOUR_SECRET_KEY);
res.cookie('t');
const {_id, name, email} = user;
return res.json({token, user : {_id, email, name}});
}