c454269d329d

rest确实是无状态，同样疑惑这样怎么做权限控制。用cookie来携带信息的话，似乎是相对安全的，在java里jsessionId是无法通过js修改的

基于RESTful API 怎么设计用户权限控制？

前言 有人说，每个人都是平等的；也有人说，人生来就是不平等的；在人类社会中，并没有绝对的公平，一件事，并不是所有人都能去做；一样物，并不是所有人都能够拥有。每个人都有自己的角...

JC_Huang

29647 19 146

c454269d329d ·

rest不是要求无状态吗？怎么还能用session来查看登录信息呢？按rest的意思是用cookies来携带信息，但那样也太不安全了，毕竟客户端cookies可查可改。这问题上楼主能解释一下吗？

yang_young 评论自基于RESTful API 怎么设计用户权限控制？