这个问题一般是关于网络应用程序的登录流程的问题.我最感兴趣的是能够在保持安全性的同时优化可用性和性能的答案.

处理带书签的URL的未经身份验证的请求的最合适方法是什么？

为了演示该问题,以下是示例应用程序的一些路由和相应的行为:

GET /login         -> Display the authentication form
POST /processLogin -> process the username and password, 
                            if unauthentic...re-render the login form; 
                            otherwise...display the default page
GET /secret         -> if authenticated...display the secret resource;
                       otherwise...display a login form
POST /secret        -> if authenticated...perform a desirable, but potentially 
                                          non-idempotent action on the secret 
                                          resource
                       otherwise...display a login form

选项1:显示登录屏幕,重定向到所需页面

1. 用户点击书签
2. 获取/秘密 - > 200,偷偷显示登录表单,隐藏字段路径="/ secret"
3. POST/processLogin - > 302 to/secret(路径参数的值)
4. GET/secret - > 200,显示秘密资源

分析:希望您的客户端是一个现代浏览器,不符合HTTP,因此它会在302的POST后执行GET.这适用于所有人.我应该担心吗？

选项2:重定向到登录屏幕,重定向到所需的页面

1. 用户点击书签
2. 获取/秘密 …