你能帮我理解吗？ “常见的REST错误：会话不相关”

为了实现RESTful，每个HTTP请求都应该携带足够的信息，以便接收者处理它，以便与HTTP的无状态特性完全一致。

好吧，我得到的HTTPauthentication是自动完成每封邮件 – 但如何？

是的，用户名和密码随每个请求一起发送。 常用的方法是基本访问authentication和摘要访问authentication 。 是的，窃听者可以捕获用户的凭证。 因此可以使用传输层安全性（TLS）来encryption所有发送和接收的数据。

有一个REST服务（比如说/ session）接受一个GET请求，在这个请求中传入一个用户名/密码，并且在authentication成功的情况下返回一个会话令牌然后传递给随后的请求？ 从REST的angular度来看，这是否有意义，还是缺less重点？

这不会是RESTful，因为它携带的状态，但是它是相当普遍的，因为它是一个方便用户; 用户不必每次都login。

您在“会话令牌”中描述的内容通常被称为loginCookie 。 例如，如果您尝试login到您的Yahoo! 帐户有一个checkbox，说：“让我login2周”。 这实际上是说（用你的话说）“如果我login成功，保持我的会话令牌活着2周。 网页浏览器会发送这样的logincookie（可能还有其他的）与你要求它为你做的每个HTTP请求。

REST服务对每个HTTP请求都要求validation的情况并不less见。 例如，Amazon S3要求每个请求都有一个从用户凭证，确切的执行请求和当前时间派生的签名。 这个签名在客户端很容易计算，可以被服务器快速validation，并且对拦截它的攻击者有用（因为它是基于当前时间的）。

许多人不清楚REST原理，使用会话标记并不意味着你永远是有状态的，每个请求发送用户名/密码的原因只是用于身份validation，同样用于发送令牌（由login生成进程）只是为了决定客户端是否有权限请求数据，当您使用我们的用户名/密码或会话标记来决定要显示的数据时，您只会违反REST召集！ 相反，您必须仅将它们用于身份validation（显示数据或不显示数据）

在你的情况下，我说YES是RESTY，但是尝试避免在你的REST API中使用本机PHP会话，并开始生成自己的散列标记，在确定的时间周期内过期！

不，它不会错过这一点。 Google的ClientLogin正是以这种方式工作的，明显的例外是客户端被指示使用HTTP 401响应去“/ session”。 但是这不会创build一个会话，它只会创build一种方式让客户端（临时）对自身进行身份validation，而不用明文传递凭据，并且服务器根据自己的需要控制这些临时凭证的有效性。

好吧，我得到的HTTPauthentication是自动完成每封邮件 – 但如何？

“授权：”由客户端发送的HTTP头。 基本（纯文本）或摘要。

有一个REST服务（比如说/ session）接受一个GET请求，在这个请求中传入一个用户名/密码，并且在authentication成功的情况下返回一个会话令牌然后传递给随后的请求？ 从REST的angular度来看，这是否有意义，还是缺less重点？

会话的整个思想是通过维护服务器端的状态来使用无状态协议（HTTP）和哑客户端（Web浏览器）来创build有状态的应用程序。 REST原则之一是“每个资源都是使用通用语法在超媒体链接中唯一可寻址的” 。 会话variables是不能通过URI访问的东西。 真正的RESTful应用程序将在客户端保持状态，通过HTTP发送所有必要的variables，最好在URI中。

例如：用分页search。 你会在表单中的URL

 http://server/search/urlencoded-search-terms/page_num 

它与可collections的URL有很多相同之处

我想你的build议是可以的，如果你想控制客户端会话的生命周期。 我认为RESTful架构鼓励您开发无状态应用程序。 正如@ 2pence所写的， “每个HTTP请求都应该携带足够的信息，使接收者能够处理它，使其与HTTP的无状态性完全一致” 。

然而，情况并非总是如此，有时应用程序需要告诉客户端何时login或注销，并根据此信息来维护锁或许可证等资源。 看到我的后续问题的例子这样的情况。