roo*_*ook 4 security authentication rest
它不可能有鉴定无状态.因此,在使用身份验证设计RESTful软件时,为了安全起见,我们是否会妥协这种架构?这可以走多远?只要能够构建更安全的系统,您能存储任何数量的状态吗?
表示状态转移或REST具有许多核心设计概念.其中最重要的一点是REST必须是无状态的或引用Wikipeida:
"......处于休眠状态的客户端能够与其用户进行交互,但不会产生负载,也不会消耗服务器或网络上的每个客户端存储."
但是,根据定义,用户名和密码是客户端特有的状态,可能会发生变化.此外,客户端可以具有被认证的状态,否则他们将具有有限的访问权限或者没有访问权限.
RESTful系统有两种类型的状态.客户端应用程序状态和资源状态 资源状态的重要一点是它应该有一个标识符,比如URL.
通过URL访问资源状态应该返回相同的信息,无论谁访问它(假设有足够的授权).
服务器会话状态会混乱,因为人们使用它会根据请求资源的人来改变响应的内容.这使得书签更加棘手,共享网址更加困难,缓存更加困难.
不幸的是,维基百科的报价过于宽泛,容易被误解.对我来说,最简单的思考方式是服务器应该不了解客户端的当前状态.
验证客户端不需要在验证客户端后保留有关客户端的信息.所需要的只是在下一个请求中,您再次进行身份验证.
| 归档时间: |
|
| 查看次数: |
1013 次 |
| 最近记录: |