Mar*_*var 6 rest symfony backbone.js
我目前正在使用Backbone.js构建一个网站.该站点有一个使用FOSRestBundle在Symfony中构建的RESTful API.开发进展顺利,直到我偶然发现了一些与用户相关的门票.
据我所知,处理此类问题的最佳方法是使用基于令牌的系统,用户在批准登录后获取访问令牌.我将描述我目前对工作流程的看法,并在此过程中提出问题.更重要的是,如果我误解了,请纠正我.
首先,用户访问登录表单,然后用户输入凭证,并将AJAX请求发送到服务器.根据我的理解,这应该全部用SSL处理,但是使用Backbonejs,你不能简单地说应该使用HTTPS访问登录页面,因为Backbone是一个单页框架.那么这会迫使我在应用程序中使用HTTPS吗?
在下一步中,REST服务器验证凭据,并且它们被批准,然后REST服务器将访问令牌发送到客户端.此令牌是在本地存储还是cookie中保存(在客户端)?
也是存储在服务器上的登录,以便REST服务器可以在一定时间后将用户注销?
现在,客户端发送此访问令牌以及其他请求,以便服务器可以识别客户端,并批准请求.那么访问令牌也存储在REST服务器上?
最后,智能人士称之为"oauth",还是与之相关?
谢谢.
我们一次提出一个问题.
根据我的理解,这应该全部用SSL处理,但是使用Backbonejs,你不能简单地说应该使用HTTPS访问登录页面,因为Backbone是一个单页框架.那么这会迫使我在应用程序中使用HTTPS吗?
好的,那里有很多解包.让我们从SSL/HTTPS开始吧.HTTPS是一种协议 ; 换句话说,它定义了如何向/从服务器发送数据包.它与您的应用程序是单页还是多页没有任何关系; 任何类型的站点都可以使用HTTP或HTTPS.
现在,就是说,通过HTTP发送登录信息(或其他任何包含密码的信息)是一个非常糟糕的主意,因为它使"坏人"很容易窃取用户的密码.因此,无论您是在进行单页还是多页应用,都应该在发送登录信息时始终使用HTTPS.因为它是一个痛苦,同时支持HTTP和HTTPS,而且由于其他非登录数据可能过于敏感,很多人选择了去做所有的请求通过HTTPS(但你并不拥有对).
因此,为了回答您的实际问题,Backbone不会强迫您使用HTTPS进行登录; 保护用户密码迫使您.
在下一步中,REST服务器验证凭据,并且它们被批准,然后REST服务器将访问令牌发送到客户端.此令牌是在本地存储还是cookie中保存(在客户端)?
虽然任何给定的框架可能以不同的方式执行,但绝大多数使用cookie来在本地保存令牌.出于各种原因,它们是用于此类事情的最佳工具.
也是存储在服务器上的登录,以便REST服务器可以在一定时间后将用户注销?
你有基本正确的想法,但服务器并不完全存储登录...它更像是服务器登录用户并创建一个"会话".它为该会话提供一个ID,然后每当用户发出一个新请求时,会话ID随请求一起提供(因为这就是cookie的工作方式).然后服务器能够说"哦这是Bob的会话"并为Bob提供适当的内容.
现在,客户端发送此访问令牌以及其他请求,以便服务器可以识别客户端,并批准请求.那么访问令牌也存储在REST服务器上?
如果你正在运行两个独立的服务器,他们就不会神奇地沟通; 你必须让他们互相交谈.因此,如果您可以为整个应用程序配备一台(可能是REST-ful)服务器,那么您的生活会更轻松.如果你不能,那么你的REST服务器每次收到请求时都必须要求你的其他服务器"嘿告诉我有关会话SESSION ID的信息 ".
最后,智能人士称之为"oauth",还是与之相关?
有点,有点,不是真的.OAuth是一种授权标准,因此它与切向相关,但除非您的登录系统涉及整个单独的服务器,否则您没有理由使用它.您可以使用OAuth来解决"两个服务器,一个REST-ful one not"问题,但这可能是过度的(并且不管它在我在这个Stack Overflow帖子中可以解释的范围之外).
希望有所帮助.
| 归档时间: |
|
| 查看次数: |
388 次 |
| 最近记录: |