jeko
Lounge-Member
Hallo zusammen,
ich lese mich gerade ein wenig in REST ein und verstehe alles eigentlich ganz gut; eines kommt mir aber manchmal etwas zu kurz bei der ganzen Euphorie: Wie stellt sich das REST-Volk genau Services mit Benutzerauthentifizerung und eigenen Benutzerbereichen vor?
Das einzige was ich gefunden habe, war die Authentifizierung mit dem HTTP-Auth-Header. Das macht sicher Sinn und ist wohl auch eine gute Methode - ich finde das aber auch etwas begrenzt. Wie sehen denn die Konzepte für Ressourcen aus, die nur bestimmten Personen angezeigt werden sollen bzw. Ressourcen, die je nach Benutzer unterschiedlichen Content enthalten?
Mein Beispiel: Die typische Bestellapplikation in all den tollen REST-Erklärungen; es gibt die Möglichkeit Bestellungen aufzugeben und zu verändern (POST/PUT), löschen (DELETE) und anzuzeigen (GET). Allerdings finde ich da jeweils nur eine einfache Implementation z.B. des Anzeigens: Bei einem GET auf die Ressource [...]/orders werden alle Bestellungen aufgelistet. Nun meine Frage: Kann es ernsthaft irgendwann gewollt sein, dass alle Bestellungen von x-beliebigen Kunden uneingeschränkt sichtbar sind für die Welt?
Komfortabler wäre doch, wenn Kunde X sich erst einmal authentifizieren muss (das geht ja noch), aber unter der Ressource [...]/orders nur _seine_ Bestellungen sieht - das scheint sich aber mit der REST-Philosophie zu beissen. Oder etwa nicht?
Liebe Grüsse
Dominique
ich lese mich gerade ein wenig in REST ein und verstehe alles eigentlich ganz gut; eines kommt mir aber manchmal etwas zu kurz bei der ganzen Euphorie: Wie stellt sich das REST-Volk genau Services mit Benutzerauthentifizerung und eigenen Benutzerbereichen vor?
Das einzige was ich gefunden habe, war die Authentifizierung mit dem HTTP-Auth-Header. Das macht sicher Sinn und ist wohl auch eine gute Methode - ich finde das aber auch etwas begrenzt. Wie sehen denn die Konzepte für Ressourcen aus, die nur bestimmten Personen angezeigt werden sollen bzw. Ressourcen, die je nach Benutzer unterschiedlichen Content enthalten?
Mein Beispiel: Die typische Bestellapplikation in all den tollen REST-Erklärungen; es gibt die Möglichkeit Bestellungen aufzugeben und zu verändern (POST/PUT), löschen (DELETE) und anzuzeigen (GET). Allerdings finde ich da jeweils nur eine einfache Implementation z.B. des Anzeigens: Bei einem GET auf die Ressource [...]/orders werden alle Bestellungen aufgelistet. Nun meine Frage: Kann es ernsthaft irgendwann gewollt sein, dass alle Bestellungen von x-beliebigen Kunden uneingeschränkt sichtbar sind für die Welt?
Komfortabler wäre doch, wenn Kunde X sich erst einmal authentifizieren muss (das geht ja noch), aber unter der Ressource [...]/orders nur _seine_ Bestellungen sieht - das scheint sich aber mit der REST-Philosophie zu beissen. Oder etwa nicht?
Liebe Grüsse
Dominique
