7
我正在開發一個REST API,供開發人員編寫移動應用程序使用。用戶將能夠使用第三方服務(Google,Twitter等)進行身份驗證,這主要由OAuth處理(取決於所討論的服務)。我們在客戶端應用程序和API服務器(消費者密鑰/祕密是應用程序特定的,開發人員在應用程序註冊時從我們的網站獲取它)之間使用雙腿OAuth。如何實現無狀態REST API
我的問題是如何處理以無狀態的方式跟蹤用戶身份驗證。我沒有要在每個請求中發送的用戶憑據。我可以在用戶登錄時創建一個唯一的session_id,然後在REST API的每個請求中都要求它。有沒有其他解決方案來解決我的問題?是否使用唯一的session_id來標識用戶從無狀態REST API透視圖中導致任何問題?
我仍在消化約翰維蘭德的這篇好文章。也許它也可以幫助你。 http://appsandsecurity.blogspot.com/2011/04/rest-and-stateless-session-ids.html – RayLuo 2013-04-17 13:58:14