REST和身份validation变体

我倾向于认为authentication细节属于标题，而不是URI。 如果您依赖于放置在URI上的令牌，则应用程序中的每个URI都需要进行编码以包含该令牌。 这也会对caching产生负面影响。 带有不断变化的标记的资源将不再能够被caching。 与资源相关的信息属于URI，而不是与应用有关的数据，例如凭证。

看来你必须把浏览器作为客户端？ 如果是这样，您可以使用HTTP摘要访问身份validation或颁发客户端自己的SSL证书进行调查，以唯一标识和validation它们。 另外，我不认为会话cookie是一件坏事。 特别是在处理浏览器时。 只要你隔离cookie处理代码，并使其他应用程序不依赖它，你会没事的。 关键只是在会话中存储用户的身份，没有别的。 不要滥用服务器端会话状态。

如果您的目标客户不是浏览器，那么您可以采取多种方法。 我已经使用亚马逊的S3身份validation机制。

这当然是非常主观的。 对信的纯度和遵守REST有时是不切实际的。 只要你最小化和隔离这样的行为，你的应用程序的核心仍然可以是RESTful。 我强烈build议将RESTful Web服务作为REST信息和方法的重要来源。

我同意workmad3，如果会话生存时间需要维护，你应该创build一个会话资源。 使用用户凭证（基本身份validation或身份内容中的凭证）发布该资源将返回唯一的会话ID。 删除/会话/ {id}会注销用户。

如果你想控制会话到期时间。 当创build新会话（在会话资源上发布）时，服务器将在响应上设置一个cookie（使用标准的set-cookie头）。 该cookie将包含到期时间。 cookiestring应该在服务器上encryption，所以只有服务器可以打开该cookie。 每个向服务器发出的请求都会在cookie头中发送会话cookie。 （如果你的客户端是浏览器，它会自动完成）。 服务器需要为每个请求“更新”cookie，即用新的到期时间（扩展会话超时）创build新的cookie。 请记得在用户调用会话资源上的删除时清除cookie。

如果您希望您的应用程序更安全，则可以将客户端IP存储在cookie本身中，所以当请求到达时，服务器可以validation它是从“原始”客户端发送的。 但请记住，当涉及代理时，此解决scheme可能会有问题，因为服务器可能会“看到”来自同一客户端的所有请求。

我见过的其他身份validation将会话视为创build，销毁等REST资源，然后会话ID传递来回。 我见过的人倾向于使用会话cookie，因为这是确保安全的唯一方法。 如果您在URL中传递会话标识，那么您没有任何真正的身份validation方法来自正确的客户端。

对于REST来说，身份validation是一个棘手的问题，因为它需要某种forms的状态保存在URL之外，这违反了URL的REST原则，这些都是表示状态所需要的。