- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我使用 Backbone 和 RequireJS 为注册或非注册用户创建 js 应用程序。为了从数据库中检索数据,我使用简单的 JSON Web 服务,当然有些方法不适用于查询。问题是我不知道应该在哪里或如何存储从服务器检索的身份验证数据,而无需在每个 View 中重新加载它。我应该使用 cookie 吗?
最佳答案
我想这取决于您的身份验证、授权方法以及您需要为用户考虑的安全类型。如果你想成为 RESTful,你不能有 session 来保存状态(至少在服务器端)。你可以,但如果这对你很重要的话,由于在服务器上保存状态,它不会是 RESTful。我听说可以在客户端保存状态,但从我读到的内容来看,我不确定社区对采用这种方法的某些实现有何看法。 (就像 cookie 一样,稍后我会重新讨论。)
假设有人使用用户名和密码登录。您可以将这些信息保存在您的 Backbone 应用程序中,也许您有一个名为 AUTH 的模型可以执行此操作。每次您向服务器发出请求时,您都会在每次旅行时发送该数据,此时服务器会进行身份验证并授予或拒绝对给定资源的访问权限。如果您使用 Basic Auth,我认为此信息将位于标题中。使用 SSL 减轻了围绕通过网络发送此信息的一些主要安全问题,并且在接下来的讨论中,我们假设这就是我们正在使用的。
您可以执行此操作的另一种方法是使用加密的 cookie,即加密的 cookie session 。这就是我对当前应用程序所做的。老实说,我不知道这算不算违反 RESTful 原则。网络上的一般聊天似乎有很多“cookie 不好, session 不好”,有些人说“变得真实”。如果有人可以访问用户的计算机,使用 cookie 会使您暴露于 cookie 劫持,但根据您的应用程序和安全需求,这可能不是一个不合理的选择。它对我有用,如果它不是 RESTful,我喜欢称它为 RESTLike。
最后,我将只描述我的设置。如果能得到您的想法以及 Stack 对此的意见,那就太好了。
基本上我有一个设置,当有人访问主页时,服务器会检查加密的 cookie session 。如果 cookie session 无效或不存在,它会为用户提供常规页面并有机会登录。当他们登录时,我通过 POST 发送该信息,因此它在请求的正文中而不是 URI 中。 (这在技术上违反了 REST HTTP 动词概念,因为您使用 POST 来保存资源。)当处理该信息时,检查用户名,传递由唯一盐创建的哈希,然后服务器创建一个加密的 session cookie 并传递它返回给用户。现在,每次我的用户访问需要身份验证的路由时,服务器都会检查 cookie 以确保它仍然有效(时间限制、用户信息等),如果有效,则允许访问。如果不是,它会销毁 cookie 信息并发回适当的状态代码。 Backbone 应用对此使用react,重置任何不应由未经身份验证的用户掌握的 View 和数据,并向他们显示登录屏幕。
希望这能给你一个想法。这是我如何做的答案,但如果有人有批评或更好的想法,我会很乐意为他们投票。
关于javascript - 当我使用 Backbone 和 AMD 模块时,存储授权数据的最佳位置在哪里?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/8963452/
初学者 android 问题。好的,我已经成功写入文件。例如。 //获取文件名 String filename = getResources().getString(R.string.filename
我已经将相同的图像保存到/data/data/mypackage/img/中,现在我想显示这个全屏,我曾尝试使用 ACTION_VIEW 来显示 android 标准程序,但它不是从/data/dat
我正在使用Xcode 9,Swift 4。 我正在尝试使用以下代码从URL在ImageView中显示图像: func getImageFromUrl(sourceUrl: String) -> UII
我的 Ubuntu 安装 genymotion 有问题。主要是我无法调试我的数据库,因为通过 eclipse 中的 DBMS 和 shell 中的 adb 我无法查看/data/文件夹的内容。没有显示
我正在尝试用 PHP 发布一些 JSON 数据。但是出了点问题。 这是我的 html -- {% for x in sets %}
我观察到两种方法的结果不同。为什么是这样?我知道 lm 上发生了什么,但无法弄清楚 tslm 上发生了什么。 > library(forecast) > set.seed(2) > tts lm(t
我不确定为什么会这样!我有一个由 spring data elasticsearch 和 spring data jpa 使用的类,但是当我尝试运行我的应用程序时出现错误。 Error creatin
在 this vega 图表,如果我下载并转换 flare-dependencies.json使用以下 jq 到 csv命令, jq -r '(map(keys) | add | unique) as
我正在提交一个项目,我必须在其中创建一个带有表的 mysql 数据库。一切都在我这边进行,所以我只想检查如何将我所有的压缩文件发送给使用不同计算机的人。基本上,我如何为另一台计算机创建我的数据库文件,
我有一个应用程序可以将文本文件写入内部存储。我想仔细看看我的电脑。 我运行了 Toast.makeText 来显示路径,它说:/数据/数据/我的包 但是当我转到 Android Studio 的 An
我喜欢使用 Genymotion 模拟器以如此出色的速度加载 Android。它有非常好的速度,但仍然有一些不稳定的性能。 如何从 Eclipse 中的文件资源管理器访问 Genymotion 模拟器
我需要更改 Silverlight 中文本框的格式。数据通过 MVVM 绑定(bind)。 例如,有一个 int 属性,我将 1 添加到 setter 中的值并调用 OnPropertyChanged
我想向 Youtube Data API 提出请求,但我不需要访问任何用户信息。我只想浏览公共(public)视频并根据搜索词显示视频。 我可以在未经授权的情况下这样做吗? 最佳答案 YouTube
我已经设置了一个 Twilio 应用程序,我想向人们发送更新,但我不想回复单个文本。我只是想让他们在有问题时打电话。我一切正常,但我想在发送文本时显示传入文本,以确保我不会错过任何问题。我正在使用 p
我有一个带有表单的网站(目前它是纯 HTML,但我们正在切换到 JQuery)。流程是这样的: 接受用户的输入 --- 5 个整数 通过 REST 调用网络服务 在服务器端运行一些计算...并生成一个
假设我们有一个名为 configuration.js 的文件,当我们查看内部时,我们会看到: 'use strict'; var profile = { "project": "%Projec
这部分是对 Previous Question 的扩展我的: 我现在可以从我的 CI Controller 成功返回 JSON 数据,它返回: {"results":[{"id":"1","Sourc
有什么有效的方法可以删除 ios 中 CBL 的所有文档存储?我对此有疑问,或者,如果有人知道如何从本质上使该应用程序像刚刚安装一样,那也会非常有帮助。我们正在努力确保我们的注销实际上将应用程序设置为
我有一个 Rails 应用程序,它与其他 Rails 应用程序通信以进行数据插入。我使用 jQuery $.post 方法进行数据插入。对于插入,我的其他 Rails 应用程序显示 200 OK。但在
我正在为服务于发布请求的 API 调用运行单元测试。我正在传递请求正文,并且必须将响应作为帐户数据返回。但我只收到断言错误 注意:数据是从 Azure 中获取的 spec.js const accou
我是一名优秀的程序员,十分优秀!