Как определить, что пользователь авторизован в REST API?

Как работает авторизация в REST API

REST API является stateless (без состояния), поэтому сервер не хранит информацию о сессиях клиентов. Для определения авторизации используется механизм токенов. Наиболее распространенный подход — JWT (JSON Web Token). После успешной аутентификации (например, по логину и паролю) сервер создает токен, содержащий данные пользователя и срок действия. Токен подписывается секретным ключом, чтобы предотвратить подделку.

Процесс проверки авторизации

• Клиент отправляет запрос с токеном в заголовке Authorization: Bearer <token>.
• Сервер проверяет подпись токена и его срок действия.
• Если токен валиден, сервер извлекает данные пользователя (например, ID или роль) и выполняет запрос.
• Если токен отсутствует, истек или недействителен, сервер возвращает статус 401 Unauthorized.

Пример кода на Node.js с использованием JWT

const jwt = require('jsonwebtoken');

function authenticateToken(req, res, next) {
  const authHeader = req.headers['authorization'];
  const token = authHeader && authHeader.split(' ')[1]; // Bearer TOKEN

  if (!token) return res.sendStatus(401);

  jwt.verify(token, process.env.SECRET_KEY, (err, user) => {
    if (err) return res.sendStatus(403);
    req.user = user;
    next();
  });
}

app.get('/profile', authenticateToken, (req, res) => {
  res.json({ message: 'Доступ разрешен', user: req.user });
});

Вывод

Использование токенов (например, JWT) — стандартный способ определения авторизации в REST API. Это обеспечивает безопасность, масштабируемость и простоту реализации. Подходит для большинства современных веб-приложений и микросервисов.