我已就此主题做了大量研究 - “使用OAUTH验证RESTful资源,在Client-Server之间保持真正的STATELESS特性”。从它看起来 - 它是不可能的。
我想知道我认为是正确的还是以某种方式实现这一点。
由于OAUTH涉及第三方服务提供商,我确信用户每次向服务器发送请求时都不想输入用户名/密码。也许有一种方法是在客户端存储一些cookie或其他东西来检测用户是否已登录。有什么建议吗?
答案 0 :(得分:0)
(实际上)不可能。我发现的唯一选择是对来自给定客户端的每个请求进行身份验证过程,正如您所指出的那样是完全不切实际的。我认为REST架构的无状态“要求”包括“业务数据”:与您所服务的资源相关的会话属性和其他上下文数据/标志/缓存,而不是身份验证/授权详细信息。