Spring Security - 使用OAUTH验证RESTful资源，保持true STATELESS访问

Question

我已经对此主题进行了大量研究 - “使用OAUTH验证RESTful资源，在Client-Server之间维护真正的STATELESS性质”。从看起来像 - 这是不可能的。

我想知道我认为是正确的还是以某种方式实现这一点。

由于OAUTH涉及第三方服务提供商，所以我确信用户在每次向服务器发送请求时都不希望输入用户名/密码。也许有一种方法是在客户端存储一些cookie或某些东西来检测用户是否已登录。有什么建议么？

Answer 1

这不（实际上）是可能的。我发现的唯一选择是对来自给定客户端的每个请求进行身份验证过程，正如您所指出的，这是完全不切实际的。我认为REST体系结构的无状态“要求”包括“业务数据”：与正在服务的资源相关的会话属性和其他上下文数据/标志/缓存，而不包括认证/授权详细信息。