Yasal Uyarı: düşünce DİNLENME okula yeni geldim ve onu kavramaya çalışıyorum.

Bu sayfa okuyorum, Common REST Mistakes, seans ve tamamen alakasız olmak ile ilgili bölümü beni şaşkına uğrattı buldum. Bu sayfa diyor ki:

Bir müşteri için gerek yok "giriş" ya da "bir bağlantı kurmak." HTTP kimlik doğrulaması yapılıyor otomatik olarak her mesaj. İstemci uygulama tüketici kaynakların, hizmetlerin değil. Bu nedenle oturum açmak için bir şey yok! Hadi bir uçuş rezervasyonu olduğunuzu söyleyin Web servis REST. Bir yaratamazsın yeni bir "oturum" bağlantı için hizmet. "Yol soracak değil yaratıcı" oluşturmak için yeni bir nesne güzergah. Doldurarak başlayabilirsiniz boşlukları ama o zaman biraz anlarım farklı bileşen başka bir yerde web diğer bazı boşlukları doldurmak için. Yok yani oturum yok oturum durumu göç sorunu müşterileri arasında. Orada da yok sorunu "oturum benzeşme" (hala var yük olsa server devam etmek için dengeleme sorunları).

Tamam, HTTP kimlik doğrulaması otomatik olarak her mesaj yapılır - ama nasıl alacağım? Kullanıcı adı/parolayı her isteği ile gönderilir? Sadece yüzey alanı saldırı artırmak değil mi? Bulmacanın bir parçası eksik gibi hissediyorum.

Olur da kötü bir DİNLENME hizmeti, diyelim ki, /session kabul eder bir GET isteği, nereden aldın geçişte bir kullanıcı adı/parola parçası olarak istek ve döndürür bir oturum belirteci eğer kimlik doğrulaması başarılı oldu, bu da olabilir o zaman birlikte geçti sonraki isteğin var mı? Bir DİNLENME bakış açısından mantıklı, yoksa değil mi?

Rahat etmek için, her HTTP isteği HTTP vatansız doğa ile tam bir uyum içinde olmak işlemi için alıcı, kendisi için yeterli bilgi taşır.

Tamam, HTTP kimlik doğrulaması alıyorum otomatik olarak her mesaj yapılır - ama nasıl?

Evet, kullanıcı adı ve parola her isteği ile gönderilir. Sık yapılan bir yöntemtemel erişim kimlik doğrulamasıveÖzet erişim kimlik doğrulaması. Ve evet, bir kulak misafiri kullanıcının kimlik bilgileri yakalayabilir. Bir böylece tüm data kullanımında alınan ve gönderilen şifrelemekKatman Güvenliği (TLS) taşıma.

Kötü bir DİNLENME olur servis, diyelim ki, /oturum, bir kabul Bir geçmek istiyorum istek, kullanıcı adı/parçası olarak parola istek, ve bir oturum belirteci döndürür eğer doğrulama başarılı olursa, bununla birlikte, o zaman geçmiş olabilir sonraki istekleri? O yapar bir DİNLENME bakış açısından mantıklı, yoksa eksik olan nokta?

Bu olmazDinlendiricibu zaten eskiden beri kullanıcılar için bir kolaylık olduğu ancak oldukça sık rastlanan bir durumdur ama devlet; bir kullanıcı her zaman giriş gerekmez.

Ne demek "oturum belirteci" olarak anılacaktır . bir tarif ^strong>oturum çerezi. Eğer Yahoo giriş için çalışırsanız örneğin,! yazan bir onay kutusu var hesap "2 haftadır beni günlüğe devam et". Bu "başarıyla giriş eğer benim oturum belirteci hayatta 2 hafta kalabilir." diyerek aslında (senin sözlerin) Web tarayıcılar için sormak her HTTP isteği ile böyle bir giriş çerezleri (ve diğerleri) gönderir.