restapi如何限制访问

我正在学习RESTAPI，假设我们有这样一个URL

POST : user/{user-id}/message

此API在用户墙上发布消息（具有给定的用户Id）

那么，开发人员遵循的常规是什么呢

{user id}

，只能是会话或

{user id}

，可以是任何内容。如果是这种情况，那么任何用户都可以通过提供不同的user-id在任何其他用户上发布

---

您应该阅读一些关于基于令牌的身份验证的内容。如果以后实现，您可以将该令牌添加到post请求中，并且只有在该令牌有效的情况下，您的web服务器才会处理该post。它允许用户登录并给予他访问权，这将在每个请求中返回。很好，但我如何知道当前登录用户是否允许在其他用户上发布帖子？因为根据上述API。。只要给userId，你就可以发布消息了。关于工作流有什么建议吗？你有他的令牌吗？因此，请检查此令牌是否分配给具有安全许可的用户以添加该帖子。哦，好的@Tom:谢谢，我明白了。。