HTTP
OPTIONS
请求是否适合确定用户的授权?
我见过 HTTP
OPTIONS
请求用于预检以检查请求是否有效,但是可以使用它来确定用户对特定资源的访问权限吗?
资源显示在页面上。有一个编辑表单使用
PUT
来更新资源。如果对 OPTIONS /resource/1
的请求显示它接受 PUT
,则会显示编辑按钮。
OPTIONS
请求是否适合返回特定用户有权访问的动词以确定授权/权限?OPTIONS
是否应该在前端代码中使用请求标头信息(或者只是预检验证)?通过 REST API 确定经过身份验证的用户的权限是否有任何标准?
根据 Mozilla 选项文档,您的问题的答案是“是”。但是,我们需要为所有 HTTP 方法添加授权检查 - GET、POST、PUT 和 DELETE,因为实际数据是通过这些方法访问的。
原因如下: