V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
meshell
V2EX  ›  程序员

给客户端提供的接口,比如修改用户信息这种在 path 中使用用户 id 这种设计可取吗?

  •  
  •   meshell · 2021-06-01 14:39:18 +08:00 · 1552 次点击
    这是一个创建于 1031 天前的主题,其中的信息可能已经有所发展或是发生改变。

    如题比如 /user/1/update/info /user/1/modify/password

    如果使用,在程序中是否还要判断 id 和 session 的 id 是否相等,还是不判断直接使用 session id 。只是作为一个 url 语义化.

    13 条回复    2021-06-01 23:16:54 +08:00
    basefas
        1
    basefas  
       2021-06-01 14:43:46 +08:00
    不需要,只需要判断是否有权限即可,比如一个系统中管理员可以改所有人的信息,此时就不能判断 user id 和 session 里的 id 是否一致
    Mitt
        2
    Mitt  
       2021-06-01 14:46:19 +08:00
    RESTful 是不把动词放路径里, 比如修改自己的 profile PUT /user/profile 或者 PATCH 这类的代替 /update/ 这个 path 同样如果是指定修改密码 /user/1/password 就可以了,但其实可以省略 /password 直接 PATCH 或者 PUT /user/1 就好了,鉴权的话该怎么鉴还是怎么鉴,如果只是改自己的信息,我就建议直接省略用户 ID
    IvanLi127
        3
    IvanLi127  
       2021-06-01 14:46:52 +08:00
    我的习惯是会要求在 url 上提供这个 id,因为接口也可能由管理员角色调用到。url 中取到的 id 会再和 session id 以及当前用户权限一起判断,这次请求是否合法。

    如果不判断的话,调用方用的时候,发现能传其他 id 进来,结果改的信息还是自己的,这不就是两个 bug 嘛!
    Godykc
        4
    Godykc  
       2021-06-01 14:53:17 +08:00
    不是对外接口就没啥问题,如果是对外接口,那潜台词就是可以通过这个接口得知你们公司的用户规模
    meshell
        5
    meshell  
    OP
       2021-06-01 14:56:33 +08:00
    @Godykc 是的
    meshell
        6
    meshell  
    OP
       2021-06-01 14:57:01 +08:00
    @Mitt 不是后台,只是手机客户端。
    meshell
        7
    meshell  
    OP
       2021-06-01 14:58:35 +08:00
    @Godykc 其实接口里面也会返回 用户 id ,以前弄得都是跳断的 uid 。不是完全自增的。
    meshell
        8
    meshell  
    OP
       2021-06-01 14:59:40 +08:00
    @Mitt 主要是针对手机客户端
    meshell
        9
    meshell  
    OP
       2021-06-01 15:01:16 +08:00
    @IvanLi127 针对手机的,其实代码没有用 这个 path 参数 . .. //doge
    IvanLi127
        10
    IvanLi127  
       2021-06-01 15:12:54 +08:00
    @meshell 如果不可能用到,建议去掉,反正你这个也不是 RESTful,自己规范好风格就行。或者 1 可以用其他词替代呀,比如 self,my 什么什么的。不然这个参数就显得很多余了,说不定会被喷不专业,居然要调用方传
    meshell
        11
    meshell  
    OP
       2021-06-01 15:15:10 +08:00
    @IvanLi127 哈哈,目前已经去掉了,其实我就想调试的时候知道别人的 uid 是多少。。。省得去问。。
    Mitt
        12
    Mitt  
       2021-06-01 15:21:29 +08:00
    @meshell #8 RESTful API 也是一样的 不一定非要网页访问才这么设计
    tomkliyes
        13
    tomkliyes  
       2021-06-01 23:16:54 +08:00
    不建议把用户 id 放在 path 中,如果是修改自己的信息,可以直接从 session 中取,如果是(管理员)修改他人信息,可以在 body 中传过来,也可以支持批量修改。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   1269 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 17:52 · PVG 01:52 · LAX 10:52 · JFK 13:52
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.