On 3/1/15 11:34 PM, Eduardo Almeida wrote:
O user autentica o client uma primeira vez e recebe um token para as
consecutivas requisições feita á API. Tokens expiram. É lógico que
você pode definir a vida útil deles de acordo com sua necessidade.
Dá para se implementar coisas interessantes sobre os tokens.
O token pode conter informações associadas que poderão ser usadas para
confrontar com informações obtidas sobre o cliente em cada requisição.
Por exemplo
- você pode associar um 'user id' (geralmente eu envio, via
headers, o id do user que está chamando o end point)
- você pode associar uma 'allowed origin' (e negar requisições com
esse token se feita de uma origem desconhecida)
Enfim ... há uma série de coisas que poderão ser implementadas no
sentido de validar o acesso. é óbvio que há coisas que podem ser
burladas quando feita a requisição (mascarando), porém, pra burlar isso,
a pessoa precisa conhecer todo seu esquema de validação.
--
Eduardo Almeida - Software Engineer
edua...@web2solutions.com.br - 27 3261-0082 / 27 9839 3755
*WEB2 Solutions* - Inovando, sempre!
=begin disclaimer
Sao Paulo Perl Mongers: http://sao-paulo.pm.org/
SaoPaulo-pm mailing list: SaoPaulo-pm@pm.org
L<http://mail.pm.org/mailman/listinfo/saopaulo-pm>
=end disclaimer
