REST架构确实是一个web的新思想,但我对其中说到的不使用session一直很为疑惑,找了不少资料也没有说怎么解决。
比如一个用户登录后查看自己发过的帖子
传统方式:网站登录界面 -> 登录并在服务端保存session -> 根据用户的ID过滤自己发过的帖子
rest方式:登录界面 -> 登录并在客户端保存用户ID的cookie -> 通过类似于 /listPost/userId/00001 这样的url 去取自己发过的帖子
但是安全性如何保证呢?如果我没有登录直接使用 /listPost/userId/00001 这样的url也可以访问某用户发过的帖子,不是没有安全可言了?