其不可能具有无状态认证。因此,在设计具有认证的RESTful软件时,为了保证安全,我们会妥协这种体系结构?这可以走多远?只要建立更安全的系统,你能存储任何数量的状态吗?作为状态形式的RESTful认证
Representation State Transfer or REST有许多核心设计概念。其中最重要的是,其它的必须是无状态的或引用Wikipeida:
” ......在静止状态下的客户端能够 与其用户进行交互,但是不能创建 负荷和在服务器或 网络上不消费每个客户端的 存储。“
然而,一个用户名和密码是通过定义一个状态是唯一的客户端,并随时可能更改。此外,客户可以对状态进行身份验证,否则它们将具有有限访问权或无权访问权限。
身份验证不处理,请重新读取rfcs – 2011-03-30 21:37:12
另外“但是,用户名和密码的定义是客户端唯一的状态”这是无意义的。所考虑的状态处于应用程序级别。 http是无状态的,它仍然可以进行身份验证。 – 2011-03-30 21:43:25
@Captain长颈鹿如果服务器不存储每个用户的用户名和密码,如何使用用户名和密码登录。这违反了''不会消耗服务器上的每个客户端存储'''。另外RESTful架构没有RFC,它不是协议。 – rook 2011-03-30 21:44:02