我喜欢使用ServiceStack,但有一个问题来自一位我无法回答的同事。身份验证机制设置了ss-pid和ss-id Cookie,此处对此进行了说明:https://github.com/ServiceStack/ServiceStack/wiki/Sessions
尝试访问受限资源时,需要提供这些Cookie,否则您将收到401 Not Authorized结果。
我的问题是这个。为什么使用cookie而不是包含sessionId或等效cookie值的自定义HTTP标头值?是因为cookie本身有自己的机制来维持过期吗?在HTTP标头上使用cookie的设计决策是什么?
答案 0 :(得分:8)
HTTP Cookie具有固有的粘性,是通过HTTP维护会话的最合适方式。在服务器指示客户端添加Cookie之后,客户端返回到同一服务器的每个后续请求也将保留该cookie - 这启用了客户端/服务器会话。