- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我写了一个 RESTful servlet,UI 开发人员希望将登录状态保存在服务器上。
他提出了一个奇怪的说法:“我还没有遇到过纯 REST 的生产 REST 实现。我见过的都让服务器维护 session 。”
我觉得这很难接受。首先,技术上存在大量纯 HTTP 页面,全都是纯 RESTful 的。其次,是的,有标记为 RESTful 的非 RESTful 实现,就像标记为“黄金”的黄铜一样。第三,仅仅因为其他人跳下桥并不意味着我应该。
背景:它是一个使用 HTTPS 和基本身份验证的 JavaScript Ajax Web 应用程序。为避免出现通常的(不可自定义的)浏览器登录弹出框,该应用程序会显示一个登录屏幕,其中包含产品 Logo 以及名称和密码的文本框。名称和密码存储在文档中,并在每个请求的 Authorization header 中发送。如果刷新页面,名称和密码将丢失,用户必须再次输入。这被认为是一个错误; UI 开发人员希望能够在不再次输入密码的情况下按下刷新按钮。
所以开发者想要使用cookie 或JSP session 。 Abby,最终每个 REST 实现都会在服务器上维护应用程序状态,这是真的吗?或者有什么方法可以解决这个问题并且仍然保持我的 RESTful 纯度?
最佳答案
我认为出于实际原因(主要是可浏览能力),您需要区分应用程序状态和身份验证状态。我想不出任何不会在服务器端保留某种形式的状态的身份验证机制。
真正重要的是它与应用程序的分离程度。例如,HTTP Digest 在服务器上保留了某种形式的状态,但这显然被抽象为正常 WWW-Authenticate
的一部分。和 Authorization
header 协商。因为大多数浏览器本身都支持它,所以这与应用程序是正交的,因此不会破坏 REST 的无状态原则。
如今,由于用户对 HTTP Basic/Digest 身份验证在浏览器中无法满足的审美期望,网站倾向于使用基于表单的身份验证,随后使用 cookie。公平地说,这不仅仅是它的外观,它还涉及可用性(例如“忘记密码”信息,尽管这可能在 401 响应的正文中)和安全性。浏览器不会让您轻松地从 Basic/Digest/Certificate 身份验证中注销,除非它完全在单个页面中的 Ajax 中完成,正如您所提到的,这可以帮助 CSRF。
我认为 cookie 可以用于身份验证,但请确保不要在 session 中存储与应用程序相关的变量。
你可以阅读一些 Roy Fielding's comments on the topic :
Authentication is orthogonal. Cookies are also orthogonal when they are simply used for content negotiation or authentication. However, Cookie authentication is not allowed in REST because it lacks visibility, which causes security problems because the other components don't know it is sensitive information.
关于ajax - 坚持我的 REST 武器还是打破无国籍状态?需要建议,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3119476/
我正在尝试用 C 语言编写一个使用 gstreamer 的 GTK+ 应用程序。 GTK+ 需要 gtk_main() 来执行。 gstreamer 需要 g_main_loop_run() 来执行。
我已经使用 apt-get 安装了 opencv。我得到了以下版本的opencv2,它工作正常: rover@rover_pi:/usr/lib/arm-linux-gnueabihf $ pytho
我有一个看起来像这样的 View 层次结构(基于其他答案和 Apple 的使用 UIScrollView 的高级 AutoLayout 指南): ScrollView 所需的2 个步骤是: 为 Scr
我尝试安装 udev。 udev 在 ./configure 期间给我一个错误 --exists: command not found configure: error: pkg-config and
我正在使用 SQLite 3。我有一个表,forums,有 150 行,还有一个表,posts,有大约 440 万行。每个帖子都属于一个论坛。 我想从每个论坛中选择最新帖子的时间戳。如果我使用 SEL
使用 go 和以下包: github.com/julienschmidt/httprouter github.com/shwoodard/jsonapi gopkg.in/mgo.v2/bson
The database仅包含 2 个表: 钱包(100 万行) 事务(1500 万行) CockroachDB 19.2.6 在 3 台 Ubuntu 机器上运行 每个 2vCPU 每个 8GB R
我很难理解为什么在下面的代码中直接调用 std::swap() 会导致编译错误,而使用 std::iter_swap 编译却没有任何错误. 来自 iter_swap() versus swap() -
我有一个非常简单的 SELECT *用 WHERE NOT EXISTS 查询条款。 SELECT * FROM "BMAN_TP3"."TT_SPLDR_55E63A28_59358" SELECT
我试图按部分组织我的 .css 文件,我需要从任何文件访问文件组中的任何类。在 Less 中,我可以毫无问题地创建一个包含所有文件导入的主文件,并且每个文件都导入主文件,但在 Sass 中,我收到一个
Microsoft.AspNet.SignalR.Redis 和 StackExchange.Redis.Extensions.Core 在同一个项目中使用。前者需要StackExchange.Red
这个问题在这里已经有了答案: Updating from Rails 4.0 to 4.1 gives sass-rails railties version conflicts (4 个答案) 关
我们有一些使用 Azure DevOps 发布管道部署到的现场服务器。我们已经使用这些发布管道几个月了,没有出现任何问题。今天,我们在下载该项目的工件时开始出现身份验证错误。 部署组中的节点显示在线,
Tip: instead of creating indexes here, run queries in your code – if you're missing any indexes, you
你能解释一下 Elm 下一个声明中的意思吗? (=>) = (,) 我在 Elm architecture tutorial 的例子中找到了它 最佳答案 这是中缀符号。实际上,这定义了一个函数 (=>
我需要一个 .NET 程序集查看器,它可以显示低级详细信息,例如元数据表内容等。 最佳答案 ildasm 是 IL 反汇编程序,具有低级托管元数据 token 信息。安装 Visual Studio
我有两个列表要在 Excel 中进行比较。这是一个很长的列表,我需要一个 excel 函数或 vba 代码来执行此操作。我已经没有想法了,因此转向你: **Old List** A
Closed. This question does not meet Stack Overflow guidelines。它当前不接受答案。 想要改善这个问题吗?更新问题,以便将其作为on-topi
我正在学习 xml 和 xml 处理。我无法很好地理解命名空间的存在。 我了解到命名空间帮助我们在 xml 中分离相同命名的元素。我们不能通过具有相同名称的属性来区分元素吗?为什么命名空间很重要或需要
我搜索了 Azure 文档、各种社区论坛和 google,但没有找到关于需要在公司防火墙上打开哪些端口以允许 Azure 所有组件(blob、sql、compute、bus、publish)的简洁声明
我是一名优秀的程序员,十分优秀!