我正在使用
Spring MVC和
Spring HateOAS来创建一个宁静且无状态的
JSON API.

一切正常.但我有一个“概念”问题.我的API在每个请求中都使用身份验证令牌.例如,您使用登录API来获取身份验证令牌,当您调用我的API时,您必须使用它,如下所示：

http://some_host/api/foo/bar?token=abcd

API始终响应JSON,并通过Spring HateOAS生成链接.举个例子 ：

{
    "label" : "foo",
    "links" : [
        "rel" : "self",
        "href" : "http://some_host/api/foo/bar/1234656"
    ]
}

问题是：我应该在生成的URL中添加身份验证令牌吗？ (所以它将是http：// some_host / api / foo / bar / 1234656？token = abcd)

我找不到任何建议或约定.

最佳答案 通常,身份验证令牌通过标准HTTP标头(例如HTTP Basic或Digest中的Authorization标头)进行通信.另一个常见的是通过cookie.在Servlet环境中,这通常是JSESSIONID cookie.

一般来说,您不应该看到作为请求URL的一部分传递的身份验证令牌.