40
另一分鐘我閱讀了關於OAuth的文章。它特別描述了在一系列請求期間客戶端和服務提供商之間交換的令牌。REST中的OAuth令牌和會話
文章還提到,OAuth的收益顯著普及RESTful API中的授權層。據我瞭解,REST應該保持完全無狀態。
的問題:難道這不是重複令牌交換,魚雷REST的「無狀態」的原則?恕我直言,令牌可以被看作是一種會話ID,不是嗎?
A
回答
76
的OAuth令牌是明確的會話標識,互動是不是因爲要求必須以特定的順序來進行OAuth令牌協商協議的請求之間的無狀態的,他們確實需要每個客戶端存儲在服務器上,因爲你需要跟蹤他們發佈時的情況。所以是的,OAuth確實違反了RESTful架構的嚴格原則。
不幸的是,真實世界TM與我們需要做的事情相抵觸,比如允許應用程序代表個人進行身份驗證而不要求他們的密碼,而OAuth相當不錯。沒有這種狀態就不可能實現類似的安全認證方案。事實上,OAuth(1.0a)所要求的變化之一是將更多狀態添加到令牌協商協議以減輕安全風險。
所以,它魚雷REST的無狀態的原理是什麼?是。這很重要嗎?除非你生活在象牙塔:-)
6
認證是在網絡交互處理時必須以某種方式跟蹤的狀態。最終,如果你的應用程序是寧靜的,服務器必須能夠跟蹤每個用戶的「身份驗證狀態」,不幸的是,這需要某種規避HTTP的底層無狀態性質和任何額外的傳輸/技術(如REST)它。
因此,開發任何類型的身份驗證的應用程序的,國家的原則必須鞋企有角的地方,如果這恰巧是在REST的頂部OAuth的,那是註定的!
相關問題
- 1. Salesforce REST令牌作爲SOAP會話ID
- 2. 令牌身份驗證Rest API會話
- 3. SoapUI REST響應會話令牌
- 4. REST OAuth 2.0存儲令牌的位置
- 5. getJSON和OAuth令牌
- 6. 從Magento REST API檢索oauth令牌
- 7. REST API和OAuth的 - 如何使呼叫與令牌和祕密?
- 8. Youtube會話令牌
- 9. Twitter API - 在會話中保存OAuth令牌
- 10. Facebook API - 在會話中保存OAuth訪問令牌
- 11. JSON Web令牌和OAuth
- 12. OAuth請求令牌和Twitter
- 13. OAuth和訪問令牌
- 14. 不能存儲在會話的OAuth令牌(導軌)
- 15. oauth中的請求和訪問令牌
- 16. PayPal&oAuth令牌
- 17. Dropbox OAuth令牌
- 18. OAuth令牌invalid_grant
- 19. 什麼是OAuth 2中的承載令牌和令牌類型?
- 20. Symfony Rest + Oauth,URL中的令牌不在param中
- 21. 如何將會話密鑰升級到OAuth訪問令牌Facebook?
- 22. AngularJS + Parse.com(Rest API) - 存儲會話令牌的正確方法
- 23. 可以使用OAuth和Twitter Reverse-Auth來傳遞OAuth令牌和令牌密碼?
- 24. 會話ID與令牌
- 25. 會話令牌安全parse.com
- 26. Facebook令牌/會話策略
- 27. 無法驗證oauth簽名和令牌 - 生成OAuth令牌的問題
- 28. 比較Oauth令牌和先前保存的令牌
- 29. Net :: Nessus :: REST使用API密鑰與會話令牌
- 30. 刷新令牌不會在彈簧的oauth /令牌響應中返回
我喜歡Real World(TM)。感謝你的回答! – Boldewyn
+1爲使現實世界爲REST –
一旦OAuth認證已被處理,但是,它可以有效地無狀態 - OAuth令牌是由客戶端存儲,並在授權標題中的每個REST請求一起發送。 –