gpt4 book ai didi

gwt - REST 服务应用程序中的 session 管理

转载 作者:行者123 更新时间:2023-12-02 02:14:17 25 4
gpt4 key购买 nike

在阅读了不同人对 Rest 支持的应用程序的 session 管理的大量评论之后,我想到了这里。

我的应用程序可以从浏览器(作为普通网络应用程序)和移动设备访问。应用程序最初是用服务器中的 http session 管理编写的,用于基于浏览器的应用程序。现在在获得移动客户端的同时,我们已经实现了 Rest web 服务,移动设备和浏览器客户端也具有相同的服务层。

当用户使用移动设备登录时,我们正在创建一个唯一的身份验证 token ,生成一个 http session ,我们将带有此 token ID 的 http session 存储为应用程序中的键值映射。稍后我们希望来自移动设备的每个用户请求都返回此 token ,并使用此 token 从 map 获取 session 并继续。

有人可以审查我的方法并确认它是否合适吗?

现在,我有第二个问题 - 我们正在使用 GWT 的 JsonPRequestBuilder 来调用带有 jersey-guice 的后端 REST 服务。在从 GWT 调用 jsonp 期间,如何在 http header 中发送此 token ?

最佳答案

“REST 中的 session ”是一个矛盾词。

When user logs in with mobile device, we are creating a unique auth token

看起来不错,虽然它看起来有点像您重新发明了 OAuth。

generate a http session and we store the http session with this token ID as key, value map in app.

在服务器端保留一些缓存以加快访问速度是可以的,但不要将其称为 session ,也不要将其绑定(bind)到特定的 token (如果数据是特定于用户的,您可以将其绑定(bind)到用户;如果有意义,用户 ID 将只是缓存键的一部分)。

您不会谈论该缓存的过期,或者您如何/何时清理它并释放内存。

Now, I have a second question - We are using JsonPRequestBuilder from GWT to invoke my back end REST services with jersey-guice. How do I send this token in http header during jsonp call from GWT?

正如@Arcadien 所说,JSONP 只是插入一个 <script>页面中的元素,因此您只能控制 URL,因此这是您应该/可以传递身份验证 token 的地方(尽管不是很安全)。
我可以质疑您从移动“ native ”应用程序使用 JSONP 的原因吗? AFAIK 没有来自 UIWebViews 或类似的 SOP 问题,所以 RequestBuilderXMLHttprequest会 Just Work™。

关于gwt - REST 服务应用程序中的 session 管理,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/11305034/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com