我正在使用Django REST Framework设计REST Web API,我正在为移动客户端(Android)使用基于会话的(针对AJAX)和基于令牌的身份验证。
但我想知道基于会话的身份验证是否打破了RESTful体系结构的“无状态”约束?因为它确实在API中添加了一层“状态”?但另一方面,对AJAX调用使用基于令牌的身份验证对我来说似乎也不是一个好主意,因为那时你应该将令牌存储在JavaScript中?
http://www.django-rest-framework.org/api-guide/authentication
亲切的问候, ķ。
答案 0 :(得分:1)
感谢您的参考! : - )
参考文献:
&#34; RESTful Web服务应该使用基于会话的身份验证,方法是通过POST建立会话令牌,或者使用API密钥作为POST正文参数或cookie。&#34; < / em>的
在Django中使用默认设置进行身份验证(登录和注销)有一个cookie集&#34; sessionid&#34;当你登录。我的REST API配置了全局permision&#34; IsAuthenticated&#34;,所以我猜REST API使用cookie来确定会话。
所以这一切似乎都符合REST架构的约束。 : - )