根据 REST 规范,服务应该是无状态的;但随后就很难启用身份验证。我读过的一些东西说“让 REST 有状态并不是世界末日”。但这不是重点,重点是遵循规范并保持一致。
所以,我在这里问这个问题,希望有人能引导我走向正确的方向。我正在使用 Spring MVC 创建 REST 服务。我没有意见。它是一个真正的 REST 服务,它使用/生成 JSON。我需要为这个无状态且遵循 REST 规范的应用程序提供身份验证(和授权)机制。客户端将用 JavaScript(Backbone.js、CoffeeScript)编写,并将接受用户的用户名/密码。然后它将将该信息发布到服务器。
如何在基于 Spring 的应用程序中实现真正的无状态身份验证(和授权)?
通过 SSL 进行摘要式身份验证 - 这是正确的方法吗?
会话管理与状态管理不同。
您的服务器端在握手期间可以生成一个令牌,每次客户端进行调用时,它都必须将该令牌添加到头部或其他位置,以便您的服务器能够分析并决定是否可以允许调用继续。
服务器不需要维护任何状态来检查该令牌的有效性,这可以使用某种算法来完成。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
