[Web API][REST] ログイングループ指定の設計方針について

ログインユーザーが複数のグループに所属するタイプのWebサービスを設計しています。
ログイン後はTokenをHTTPヘッダに入れてアクセスさせますが、グループ情報をどのようにして受け渡すのがベストなのかを悩んでおります。

WebAPIは上記のようなエンドポイントでJSONデータを返却します。

この時、例えば「google」「yahoo」という2つのグループIDに所属しているユーザーがいたと仮定して、このグループIDはどのように渡すべきでしょうか？

④ HTTPリクエストヘッダ
オリジナル？？

⑤ トークン？？

ベストな方法があれば教えて頂けると幸いです。

行動規範の内容に同意します

回答1件

ベストアンサー

URL文字列は常に独り歩きするもの（リンク文字列として人から人へ伝達されやすいもの）ですから、情報保護の観点から、URLに属人情報（ユーザーID、グループID等）を含めるべきではないと思います。また、グループ文字列をユーザーが書き換えてしまうケースも想定しなければなりません。

また別の観点になりますが、サービスURLにユーザーIDやグループIDなどの属人情報が入っていると、サービスURLをユーザー同士で共有することができなくなるデメリットもあります。

ユーザー認証が前提のシステムでしたら、認証成功時にセッションデータとしてCOOKIEやトークン文字列等に含めて管理するのが良いと思います。

投稿2016/02/04 03:20

総合スコア2425

2016/02/04 08:02

ありがとうございます！参考になりました。

行動規範の内容に同意します

あなたの回答

tips

プレビュー

行動規範の内容に同意します

質問の解決につながる回答をしましょう。サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう！

ただいまの回答率
85.48%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

関連した質問