Alcune delle mie azioni API richiedono la conferma tramite SMS per motivi di sicurezza, come la creazione di pagamenti e CRUD per i pagamenti programmati.
In questo momento restituisco solo un'entità con AwaitingSMSConfirmation state e confirmationId .
E poi POST /SMSConfirmation con una sola password e id.
La mia decisione con state è corretta? C'è qualche modo generico REST di canonica per questo?
Non conosco nessun canone, e IMHO che l'approccio sembra abbastanza fattibile ...
Dato che sei interessato a un'estetica "RESTful", potresti partire dal primo principio di "RESTful": "trasferimento dello stato di rappresentazione". L'enfasi generale su RESTful consiste nel compiere cambiamenti nel server inviando il nuovo stato dell'entità. In questo caso, stai modificando lo stato dell'entità ScheduledPayment da "AwaitingSMSConfirmation", ad esempio, "Confermato". Penso che sia più RESTful dire:
POST /ScheduledPayment/123
state=Confirmed&confirmation_code=1a2b3c4d5e6f7
A parte: potresti trovare qualcosa di interessante cercando su REST e codici di conferma basati su email, ad es. link In questa discussione, vedrai diverse varianti e IMHO tutte sarebbero ugualmente riconoscibili per un pubblico generale di programmatori.