1 REST API 簡介 · REST API 安全設計指南

## 1 REST API 簡介 REST的全稱是`REpresentational State Transfer`，表示表述性無狀態傳輸，無需session，所以每次請求都得帶上身份認證信息。rest是基于http協議的，也是無狀態的。只是一種架構方式，所以它的安全特性都需我們自己實現，沒有現成的。建議所有的請求都通過https協議發送。RESTful web services 概念的核心就是“資源”。資源可以用 URI 來表示。客戶端使用 HTTP 協議定義的方法來發送請求到這些 URIs，當然可能會導致這些被訪問的”資源“狀態的改變。HTTP請求對應關系如下： |HTTP 方法?? |行為??????????????????| 示例| |---|---|---| |GET???????? |獲取資源的信息????????|http://xx.com/api/orders| |GET???????? |獲取某個特定資源的信息|http://xx.com/api/orders/123| |POST????????|創建新資源????????????|http://xx.com/api/orders| |PUT???????? |更新資源??????????????|http://xx.com/api/orders/123| |DELETE??????|刪除資源??????????????|http://xx.com/api/orders/123| 對于請求的數據一般用json或者xml形式來表示，推薦使用json。