40
另一分钟我阅读了关于OAuth的文章。它特别描述了在一系列请求期间客户端和服务提供商之间交换的令牌。REST中的OAuth令牌和会话
文章还提到,OAuth的收益显著普及RESTful API中的授权层。据我了解,REST应该保持完全无状态。
的问题:难道这不是重复令牌交换,鱼雷REST的“无状态”的原则?恕我直言,令牌可以被看作是一种会话ID,不是吗?
A
回答
76
的OAuth令牌是明确的会话标识,互动是不是因为要求必须以特定的顺序来进行OAuth令牌协商协议的请求之间的无状态的,他们确实需要每个客户端存储在服务器上,因为你需要跟踪他们发布时的情况。所以是的,OAuth确实违反了RESTful架构的严格原则。
不幸的是,真实世界TM与我们需要做的事情相抵触,比如允许应用程序代表个人进行身份验证而不要求他们的密码,而OAuth相当不错。没有这种状态就不可能实现类似的安全认证方案。事实上,OAuth(1.0a)所要求的变化之一是将更多状态添加到令牌协商协议以减轻安全风险。
所以,它鱼雷REST的无状态的原理是什么?是。这很重要吗?除非你生活在象牙塔:-)
6
认证是在网络交互处理时必须以某种方式跟踪的状态。最终,如果你的应用程序是宁静的,服务器必须能够跟踪每个用户的“身份验证状态”,不幸的是,这需要某种规避HTTP的底层无状态性质和任何额外的传输/技术(如REST)它。
因此,开发任何类型的身份验证的应用程序的,国家的原则必须鞋企有角的地方,如果这恰巧是在REST的顶部OAuth的,那是注定的!
相关问题
- 1. Salesforce REST令牌作为SOAP会话ID
- 2. 令牌身份验证Rest API会话
- 3. SoapUI REST响应会话令牌
- 4. REST OAuth 2.0存储令牌的位置
- 5. getJSON和OAuth令牌
- 6. 从Magento REST API检索oauth令牌
- 7. REST API和OAuth的 - 如何使呼叫与令牌和秘密?
- 8. Youtube会话令牌
- 9. Twitter API - 在会话中保存OAuth令牌
- 10. Facebook API - 在会话中保存OAuth访问令牌
- 11. JSON Web令牌和OAuth
- 12. OAuth请求令牌和Twitter
- 13. OAuth和访问令牌
- 14. 不能存储在会话的OAuth令牌(导轨)
- 15. oauth中的请求和访问令牌
- 16. PayPal&oAuth令牌
- 17. Dropbox OAuth令牌
- 18. OAuth令牌invalid_grant
- 19. 什么是OAuth 2中的承载令牌和令牌类型?
- 20. Symfony Rest + Oauth,URL中的令牌不在param中
- 21. 如何将会话密钥升级到OAuth访问令牌Facebook?
- 22. AngularJS + Parse.com(Rest API) - 存储会话令牌的正确方法
- 23. 可以使用OAuth和Twitter Reverse-Auth来传递OAuth令牌和令牌密码?
- 24. 会话ID与令牌
- 25. 会话令牌安全parse.com
- 26. Facebook令牌/会话策略
- 27. 无法验证oauth签名和令牌 - 生成OAuth令牌的问题
- 28. 比较Oauth令牌和先前保存的令牌
- 29. Net :: Nessus :: REST使用API密钥与会话令牌
- 30. 刷新令牌不会在弹簧的oauth /令牌响应中返回
我喜欢Real World(TM)。感谢你的回答! – Boldewyn
+1为使现实世界为REST –
一旦OAuth认证已被处理,但是,它可以有效地无状态 - OAuth令牌是由客户端存储,并在授权标题中的每个REST请求一起发送。 –