新来的技术总监计划将之前的 mvc 架构做成 restful api ，小弟不才，然后我发现我登录都不会写了，

https://mikumikulch.gitbooks.io/chucklin_blog/content/mian-xiang-gong-cheng-shi-de-she-ji-zhi-nan-shi-yao-shi-hao-de-web-api-de-she-ji.html

https://mikumikulch.gitbooks.io/chucklin_blog/content/mian-xiang-gong-cheng-shi-de-she-ji-zhi-nan-web-api-de-qing-qiu-yu-xiang-ying.html

肯这两篇博客你就懂了。

@mikulch 静态博客 URL 地址是文章标题的拼音。 你是我碰到的第一个。

ls+1

post /auth/token/
post /auth/session/
post /auth/oauth/

哪里行么？

restful 就是一种 api 设计的理念，不过如何使用还是要结合你自己的业务。没有完美的标准，只有最适合的标准。

http://mp.weixin.qq.com/s/AhiyMnJ70TkOMnmkXG1Lsw 这篇文章讲得很有道理

我们的 api 设计也一直都是这么做的

@k9982874 赞同

@blacklee 是啊，问题问的就很奇怪

登录和其他不一样，不需要死搬硬套，给几个我一直在使用的 API 设计示例：
{
"meta:" {"success": true},
"data": {},
}

登录 POST /auth/login {"username": "", "password": ""} -> {"token": ""}

读取我的信息 GET /me/profile -> {"me": {}}
读取用户信息 GET /users/1024/profile -> {"user": {}}

关注用户 POST /users/1024/follow
用户关注列表 GET /users/1024/following-user -> {"users": []}

LZ 想问的是 采用 restful 后 操作不了 session 咋控制登录访问权限吧。。

@Kilerd 用用 gitbook-editor 你就知道为什么了。

然后黑客只需要拿到日志就能拿到用户账号密码了。。。

restful 只是一种规范 和用来些什么没关系 至于做登录当然可以

别用 session 了，用 JWT 吧，用户登录的时候给用户返回一个 token，然后用户的每次请求头部都加上这个 token

没有文档就说改就改了，确定这技术总监不会搞坏你们现有的业务？-。-

关于 Rest 最好的教程，楼主拿走不谢。[教狗狗用 Rest ]( https://www.slideshare.net/landlessness/teach-a-dog-to-rest)

@irrigator 标题好坑。。。

rest 风格的 url 同样允许 api.service.com/user/1 和 api.service.com/user?id=1 这样的冗余的，不要纠结，先好好理解 rest

其实我之前也遇到这个问题，查了好多资料，以及想了为什么要用 restful，restful 的好处就是以后可以更方便的分布和集群，所以需要无状态，如果还是用 session 管理的话，将来分布式之后 session 不方便管理。所以我觉得这里不应该用 session 来管理

我推荐楼主了解一下基于 token 的身份认证。