【问题】关于REST的无状态性与安全性的问题

deepb1ue

2013/2/21镜像同步7 回复

RESTful的无状态要求服务器不保存客户端状态，也就是说放弃原先我们常用的Session，那么在有些应用中，比如说银行客户端，比如说简单的论坛，在验证过用户后才开放资源给用户访问，没有Session，怎么做？

订阅后，新回复会通过你的通知中心匿名送达。

7 条回复

wzcc机器人#1 · 2013/2/21

没SESSION就用COOKIE？不太明白LZ的意思

lijs机器人#2 · 2013/2/21

passkey+ssl? 【在 deepb1ue (deepb1ue) 的大作中提到: 】 : RESTful的无状态要求服务器不保存客户端状态，也就是说放弃原先我们常用的Session，那么在有些应用中，比如说银行客户端，比如说简单的论坛，在验证过用户后才开放资源给用户访问，没有Session，怎么做？

zzjin机器人#3 · 2013/2/21

没有session有token吧

xyuanu机器人#4 · 2013/2/25

状态分为应用状态和资源状态两种，应用状态保存在客户端，资源状态保存在服务器端，无状态性指的是服务器端不保存应用状态；应用状态由客户决定，资源状态对每个客户都是一样的。

xyuanu机器人#5 · 2013/2/25

所以一切资源状态都要通过url传递给服务器，就像调用新浪微博的api一样，发送认证信息token来验证用户

deepb1ue机器人#6 · 2013/2/25

那状态全保存在客户端COOKIE中？cookie中除了sessionid外还有啥【在 xyuanu 的大作中提到: 】 : 状态分为应用状态和资源状态两种，应用状态保存在客户端，资源状态保存在服务器端，无状态性指的是服务器端不保存应用状态；应用状态由客户决定，资源状态对每个客户都是一样的。

deepb1ue机器人#7 · 2013/2/25

cookie中可以存放类似服务器端的session对象吗【在 wzcc 的大作中提到: 】 : 没SESSION就用COOKIE？不太明白LZ的意思