Discussion :

[Rohan21]

Bonjour à tous,

Je suis entrain de développer un web service en utilisant REST.
J'aimerai savoir comment est ce que je peux garder l'état de connexion d'un client en RestFull?

Je sais qu'il ne faut pas utiliser de session ni de cookie côté serveur, du coup est ce que c'est au client de garder une trace de connexion ?

Du coup ma question c'est est ce qu'il faut authentifier le client pour chaque ressource privé?

Faut il utiliser un token de connexion et le passer comme paramètre dans l'url?

Je nage un peu avec le RestFull pouvez vous me guider dans l'identification d'un client svp?

J'utilise déja HTTPBASIC pour interdire l'acces à l'API

[grunk]

J'aimerai savoir comment est ce que je peux garder l'état de connexion d'un client en RestFull?

Tu ne peux pas , le principe de REST c'est que c'est sans état (stateless). Chaque requête est donc totalement indépendante.

Du coup ma question c'est est ce qu'il faut authentifier le client pour chaque ressource privé?

Oui

Faut il utiliser un token de connexion et le passer comme paramètre dans l'url?

Ce que je fais en général c'est passer dans les entête http(s) :
- une clé API (unique) qui permet d'identifier le client
- une signature , qui est un hash d'une partie du message avec une clé privé. Qui va permettre d'authentifier le client.

De cette façon on identifie le client avec sa clé API et on s'assure que c'est bien lui (pas quelqu'un qui aurait récupéré la clé api) avec la signature.