目前认为是 RESTful api 设计的正确姿势。欢迎批评指正： https://github.com/timqian/jwtAuth-RESTful-server-starter

node.js 代码？

@Juggernaut 是的
手机上好像链接点不了： https://github.com/timqian/jwtAuth-RESTful-server-starter

说实话你的登陆的 endpoint 命名用的是 login ，这不好，应该用 authentications 之类的。而且 token 最好再次加密下。

@haozhang 你说的加密指的是怎样

@timqian 将 token 进行加密，第一次生成 jwt 的特征太明显了。

@haozhang 其实不把重要信息(比如 password )放在 claims 里，应该没什么问题。对安全性有更高要求的话就用 JWE 了。
参考： https://stormpath.com/blog/jwt-the-right-way/

@timqian 这种特征很明显的东西不加层密能说得过去么...而且你的 API 的命名明显是错的。
像 login 这种应该用 authentications 之类的。

@timqian
我找到了一篇很好的文章。

http://thejackalofJavascript.com/architecting-a-restful-node-js-app/

@haozhang 谢谢你的回复。
关于验证用户的 API 叫作 login 还是 authentications ：的确看到大家大多用后者，我之后很可能会把它改掉。但我没有找到很好的理由非得用 authentications （ URL 应该用名词这个惯例我是知道的，但 login 也可作名词的吧）。不知道你有什么重要的理由？
关于加密，我对网络安全不是很熟，能不能说下为什么说不过去或者给个链接给我参考。

我原本想的是对于一般的用户相关 API 使用 token 来验证（比如查看用户点赞的内容）， 当涉及比较重要的操作（比如下订单）。需要用户重新验证用户名密码。

@nuc093 的确不错。回头仔细看看

@timqian 我已经用在我们的项目里了啊。后面准备加 LDAP 、权限角色。他有 github demo 跑起来很快的。

目前 RESTful ，哪几本书最值得推荐？
大家聊聊

@Juggernaut <build apis you won't hate> laravel 相关. 这类书貌似不是特别多.

现在神烦 RESTful
html4 form method 只有 get post
一个 http 请求的一个完整事务里牵扯到两个不同的 resuorce 的不同 action 要咋命名？
10 个动态查询条件的 http 请求要如何设计 RESTful 的 url ？
求大神教教我

@canesten
- AJAX
- 分别请求
- /path/to/:your_resource

@timqian 你看看这个吧 https://github.com/Summerlve/koablog.git

@canesten http://www.oschina.net/translate/best-practices-for-a-pragmatic-restful-api 不知能否帮到你

@haozhang
- 叫 login 好像没啥不妥
- jwt 里没敏感信息, 没必要加密. 你好像不太懂 jwt
- 你贴的那个 koablog 没有楼主写的好

@devtiange ....我的思路和他的思路不是一样的么...都是发 username 和 pwd 拿 token ，每次验证 token....哪里有我写的没他好这种说法...

@devtiange 叫 login 我觉得非常不妥。 jwt 起码会有 user 的 id 在里面，必须加密。 koablog 是我自己写的，我觉得比楼主的写得好。

还在为 Authentication 这种东西费心。。。

@hantsy 不为这种东西费心？准守规则不对吗？