RESTful架构
Web应用程序的架构问题一直是一个难题,其中最著名的是MVC(Model-View-Controller)模型。RESTful架构是现今最为流行的Web应用程序设计架构之一,它强调了HTTP协议的特性。RESTful架构的核心思想是将Web应用程序中的各种资源(资源即一切可以被命名和寻址的事物,例如文章、评论、用户等)抽象出来,每个资源都对应着一个URI地址,通过HTTP协议的不同方法(GET、POST、PUT、DELETE等)对这些资源进行操作。RESTful架构的优点在于简化了Web应用程序的构建和部署,提高了系统的可扩展性和可维护性,同时也降低了开发成本。
在RESTful架构中,每个资源对应着不同的HTTP动词。其中,GET方法用于读取资源,POST方法用于创建资源,PUT方法用于更新资源,DELETE方法用于删除资源。使用这种方式可以让应用程序更加灵活和可扩展。
除了HTTP动词之外,在RESTful架构中还有一些其他的概念。比如,资源的表示形式(Representational State Transfer)指的是将资源的状态以某种形式呈现出来,例如使用XML或JSON格式进行序列化。认证和授权是另外两个非常重要的概念,它们用于验证用户的身份并授予用户访问资源的权限。版本控制是另一个非常重要的概念,它用于处理API的版本问题。在RESTful架构中,版本控制可以通过URI路径或HTTP头部进行实现。
DRF入门
Django Rest Framework(DRF)是一个强大而灵活的Web API工具包,它可以帮助我们快速构建RESTful API,提供了丰富的序列化、渲染、认证、权限、版本控制等功能。DRF的使用非常简单,只需要在Django项目中安装DRF,并在urls.py
中配置好路由即可。
DRF提供了许多有用的类和方法,例如APIView、ViewSet、Response、Serializer等等。其中,APIView是DRF的核心类之一,它提供了一些常用的方法,例如get、post、put、delete等等。ViewSet是DRF的另一个核心类,它提供了更加高级的方法,例如list、retrieve、create、update、partial_update、destroy等等。Response类用于返回HTTP响应,Serializer类用于序列化和反序列化数据。
DRF还提供了许多插件和扩展,例如drf-yasg、django-filter、django-rest-swagger等等。其中,drf-yasg用于生成API文档,django-filter用于实现数据过滤,django-rest-swagger用于生成API文档和测试接口。
前后端分离下的用户登录
HTTP协议是无状态的,一次请求结束连接断开,下次服务器再收到请求,它就不知道这个请求是哪个用户发过来的。但是对于一个Web应用而言,它是需要有状态管理的,这样才能让服务器知道HTTP请求来自哪个用户,从而判断是否允许该用户请求以及为用户提供更好的服务,这个过程就是常说的会话管理。
之前我们做会话管理(用户跟踪)的方法是:用户登录成功后,在服务器端通过一个session对象保存用户相关数据,然后把session对象的ID写入浏览器的cookie中;下一次请求时,HTTP请求头中携带cookie的数据,服务器从HTTP请求头读取cookie中的sessionid,根据这个标识符找到对应的session对象,这样就能够获取到之前保存在session中的用户数据。然而,基于session实现用户跟踪的方式需要服务器保存session对象,在做水平扩展增加新的服务器节点时,需要复制和同步session对象,这显然是非常麻烦的。
解决这个问题有两种方案,一种是架设缓存服务器(如Redis),让多个服务器节点共享缓存服务并将session对象直接置于缓存服务器中;另一种方式放弃基于session的用户跟踪,使用基于token的用户跟踪。
基于token的用户跟踪是在用户登录成功后,为用户生成身份标识并保存在浏览器本地存储(localStorage、sessionStorage、cookie等)中,这样的话服务器不需要保存用户状态,从而可以很容易的做到水平扩展。基于token的用户跟踪具体流程如下:
- 用户登录时,如果登录成功就按照某种方式为用户生成一个令牌(token),该令牌中通常包含了用户标识、过期时间等信息而且需要加密并生成指纹(避免伪造或篡改令牌),服务器将令牌返回给前端;
- 前端获取到服务器返回的token,保存在浏览器本地存储中(可以保存在
localStorage
或sessionStorage
中,对于使用Vue.js的前端项目来说,还可以通过Vuex进行状态管理); - 对于使用了前端路由的项目来说,前端每次路由跳转,可以先判断
localStroage
中有无token,如果没有则跳转到登录页; - 每次请求后端数据接口,在HTTP请求头里携带token;后端接口判断请求头有无token,如果没有token以及token是无效的或过期的,服务器统一返回401;
- 如果前端收到HTTP响应状态码401,则重定向到登录页面。
通过上面的描述,相信大家已经发现了,基于token的用户跟踪最为关键是在用户登录成功时,要为用户生成一个token作为身份标识,并将该token保存在浏览器本地存储中。每次请求后端数据接口时,都需要在HTTP请求头中携带该token,这样服务器才能够判断用户的身份并授权用户访问相应的资源。
基于token的用户跟踪相比于基于session的用户跟踪具有更加灵活和可扩展的特点,尤其适用于前后端分离的Web应用程序。因此,在设计和开发Web应用程序时,我们应该优先考虑基于token的用户跟踪方案。