RESTful API是无状态的,那么身份认证是不是resetful

最新推荐文章于 2023-04-20 16:41:02 发布
最新推荐文章于 2023-04-20 16:41:02 发布
阅读量585 收藏 1
点赞数
文章标签: java 前端 c# ViewUI
原文链接:https://my.oschina.net/u/2935389/blog/3014464
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

在REST应用程序中,每个请求必须包含服务器需要理解的所有信息,而不是依赖于服务器记住先前的请求。

在服务器上存储会话状态违反了REST体系结构的无状态约束。因此,会话状态必须完全由客户端处理。

会话状态

传统web应用程序使用远程会话。在这种方法中,应用状态完全保存在服务器上。

远程会话样式是客户机-服务器的一个变体,它试图最小化客户端组件的复杂性,或者最大限度地重用客户机组件,而不是服务器组件。每个客户端在服务器上启动一个会话,然后在服务器上调用一系列服务,最后退出会话。应用程序状态完全保留在服务器上。...

虽然这种方法带来了一些优点,但它降低了服务器的可伸缩性:

远程会话样式的优点是更容易集中维护服务器上的接口,在扩展功能时减少对已部署客户端中的不一致性的关注,如果在服务器上使用扩展的会话上下文,则提高效率。缺点是,由于存储的应用程序状态,它降低了服务器的可伸缩性,降低了交互的可见性,因为监视器必须知道服务器的完整状态。

无状态约束

REST体系结构样式定义在一组约束的顶部,其中包括服务器的无国籍状态。根据菲尔丁的说法,其余的无状态约束定义如下:

客户端到服务器的每个请求都必须包含理解请求所需的所有信息,并且不能利用服务器上存储的任何上下文。因此,会话状态完全保留在客户端上。

这个约束导致了能见度可靠性,和可伸缩性:

可见性得到了改善,因为监控系统不必只看单个请求数据,就可以确定请求的全部性质。可靠性的提高是因为它简化了从部分故障中恢复的任务。可伸缩性得到了改善,因为不需要在请求之间存储状态,可以让服务器组件快速释放资源,并进一步简化实现,因为服务器不必管理跨请求的资源使用情况。

认证和授权

如果客户端请求需要身份验证的受保护资源,则每个请求必须包含所有必要的数据必须经过适当的认证/授权

HTTP身份验证被认为是无状态的:验证请求所需的所有信息必须在请求中提供,而不是依赖于服务器记住先前的请求。

基于状态的Web服务
在基于状态的Web服务中,Client与Server交互的信息(如:用户登录状态)会保存在Server的Session中。再这样的前提下,Client中的用户请求只能被保存有此用户相关状态信息的服务器所接受和理解,这也就意味着在基于状态的Web系统中的Server无法对用户请求进行负载均衡等自由的调度(一个Client请求只能由一个指定的Server处理)。同时这也会导致另外一个容错性的问题,如果指定的Server在Client的用户发出请求的过程中宕机,那么此用户最近的所有交互操作将无法被转移至别的Server上,即此请求将无效化。

基于无状态的Web服务
在无状态的Web服务中,每一个Web请求都必须是独立的,请求之间是完全分离的。Server没有保存Client的状态信息,所以Client发送的请求必须包含有能够让服务器理解请求的全部信息,包括自己的状态信息。使得一个Client的Web请求能够被任何可用的Server应答,从而将Web系统扩展到大量的Client中。

总结两者的区别
因为无状态原则的特性,让RESTful在分布式系统中得到了广泛的应用,它改善了分布式系统的可见性、可靠性以及可伸缩性,同时有效的降低了Client与Server之间的交互延迟。无状态的请求有利于实现负载均衡,在分布式web系统下,有多个可的Server,每个Server都可以处理Client发送的请求。有状态的请求的状态信息只保存在第一次接收请求的Server上,所以后来同一个Client的请求都只能由这台Server来处理,Server无法自由调度请求。无状态请求则完全没有这个限制。其次,无状态请求有较强的容错性和可伸缩性。如果一台服务器宕机,无状态请求可以透明地交由另一台可用Server来处理,而有状态的请求则会因为存储请求状态信息的Server宕机而承担状态丢失的风险。Restful风格的无状态约束要求Server不保存请求状态,如果确实需要维持用户状态,也应由Client负责。

例如: 
使用Cookies通过客户端保持登陆状态: 
在REST中,每一个对象都是通过URL来表示,对象用户负责将状态信息打包进每一条信息内,保证对象的处理总是无状态的。在HTTP服务器中,服务器没有保存客户端的状态信息,客户端必须每次都带上自己的状态去请求服务器。客户端以URL形式提交的请求包含了cookies等带状态的数据,这些数据完全指定了所需的登录信息,而不需要其他请求的上下文或内存。 
传递User credentials是Restful,而传递SessionID是Un-Restful的,因为session信息保存在服务器端。 
无状态请求:Server不保存任何请求状态信息,Client的每一个请求都具有User credentials等所需要的全部信息,所以能被任意可用的Server应答。 
有状态请求:Server保存了Client的请求状态,Server会通过Client传递的SessionID在Server中的Session作用域找到之前交互的信息,并以此来实现应答。所以Client只能由某一个Server来应答。

转载于:https://my.oschina.net/u/2935389/blog/3014464

weixin_34232617
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
课程8:RESTful风格API接口
成长的足迹
05-07 1249
本课程内容: 1、什么是RESTful? 2、REST接口规范 3、REST响应的状态 4、REST返回数据格式 上一个课程,我们数据库模型、数据库初始化都已经完成了,在正式编写接口代码之前,我们先来了解下RESt风格的API
详解HTTP协议与RESTFUL
weixin_43512657的博客
07-08 8418
1.HTTP简介 http协议是一种超文本传输协议,主要应用在浏览器与服务器之间的通信,可以传输文本,图片,视频等。它是一种应用层协议,也是基于TCP协议,当然现在流行的Https协议是在TLS或SSL协议层上面。如下图所示: HTTP是一个应用层协议,是一个无状态协议,默认端口号是80.,HTTPS端口号为443。 HTTP的特性: (1) 协议简单,只用传递请求方法和路径,程序规模小,通信速度快。 (2)可以指定传输类型,由Content-Type标记。 (3)HTTP0.9 和 1.0使用非持续连接
RESTful Web Service - http身份登录认证的实现和使用(一)
HH出状猿的专栏
09-08 2928
RESTful Web Service - http身份登录认证的实现和使用(一) 一、概述:                  因为RESTful的无状态特性,导致无法知道当前的请求方是否可靠,所以不得不对每次请求进行验证。但是如何更语义化的将需要验证的信息附加到HTTP里呢?现在比较常见的方式是把验证信息作为参数发送过去,但是这样会违反RESTful的原则。例如,GET /user/1/x
【REST】在 WCF RESTfull service 中实现自己的身份验证方式
熊战士
09-22 2446
关于如何创建 WCF RESTfull service,请移步 这里。 在WCF 世界里, 类似配置一类的东西一般都有两种实现方式--
我对 WCF RESTful 身份验证的实现方式
lorinzhang
12-26 2988
RESTful   具体含义请去搜索 ,意味着我们的服务是无状态的,每次调用完全无关的 那么我们怎么保证身份验证呢? 一般这类服务都是提供给别人调用(一般是 第三方系统 ),或者叫做应用程序编程接口 (api) 随便叫吧,就这么个意思 假如我有一个服务地址为  www.a.com/aservice/    提供给别人的登录名 为   system1     密码 为   abedeff
resetful api
cofecode的博客
12-25 1057
面向资源去设计API 每一个资源都有唯一的资源标识,对资源的操作不会改变这些资源。 对资源的4种操作类型 正好对应数据库的4种操作(增删改查) 特点总结: 面向资源的接口设计 抽象操作为基础的CRUD C create R read 读 U update 更新 D delete GET /articles这个命令,GET是动词,/articles是宾语。 宾语必须是名词 ...
Restful API是什么、为什么、怎么使用
渐若窥宏大的博客
03-21 5215
Restful API 文章目录Restful API1、REST是什么以及它的 6 个限制REST是什么?REST的6个限制2、 Restful是什么Restful是什么RESTful API具体什么样子?现实举例从资源出发3、为什么要使用RestfulHTTP协议-URLHTTP协议-请求HTTP协议-响应RESTful架构与其他架构的区别效率和易用性安全性4、 如何使用Restful资源路径...
什么是RESETful API架构
雷小涛的专栏
11-01 2549
一、什么是RESTful API架构? REST这个词,是Roy Thomas Fielding在他2000年的博士论文中提出的。他对互联网软件的架构原则,定名为REST,即Representational State Transfer的缩写。阮一峰博主将其翻译为"表现层状态转化"。如果一个架构符合REST原则,就称它为RESTful架构。只要理解了Representational State ...
构建RESTful API的13种最佳实践
API
12-23 243
翻译:Eolinker 来源:www.eolinker.com Facebook、GitHub、Google以及其他许多巨头都需要一种服务和消费数据的方式。在当今的开发环境中,RESTful API仍然是服务和消费数据的最佳选择之一。 但是你是否考虑过学习行业标准?设计RESTful API的最佳实践是什么?从理论上讲,任何人都可以在不到五分钟的时间内快速启动数据API——无论是Node.js,Golang还是Python。 我们将探讨在构建RESTful API时应考虑的13种最佳实践。 什么是RESTf
openstack开发实践(七):RESTful API框架在openstack中的应用
weixin_41977332的博客
03-21 1026
RESTful API简介 RESTful API就是RESTful风格的API,所谓REST,即表现层状态转化,这里的“表现层”,指的是资源的表现层,访问资源时伴随产生的数据和状态的变化即为“状态转化”。通常对于REST来说有如下4种基本操作: POST:创建资源 PUT:更新资源 DELETE:删除资源 GET:获取资源 对于REST架构来说,每一个URL代表了一种资源,一个URL路径往往是...
RESTful API设计与实现
最新发布
BASK2312的博客
04-20 647
REST(Representational State Transfer,表现层状态转移)是一种软件架构风格,它定义了用于创建Web服务的约束和原则。RESTful API是遵循REST原则的Web API。它使用简单、通用的方法(如HTTP方法)来操作资源(如Web页面、数据对象等)。无状态:服务器不保存客户端的状态信息,每个请求都包含处理该请求所需的所有信息。客户端-服务器架构:客户端和服务器之间的通信是独立的,可以独立更新和修改。
RESTful API状态理解
etrpaul的博客
11-17 2135
这里写自定义目录标题欢迎使用Markdown编辑器Paul新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章1UML 图表FLowchart流程图导出与导入导出导入 欢...
使用JWT的无状态身份验证
allway2的博客
11-07 1023
如果您对基于令牌的身份验证感兴趣,那么此博客适合您。在此博客中,我主要针对基于令牌/无状态的身份验证,以及如何使用JWT(Json Web令牌)来实现。 无状态/基于令牌的身份验证 无状态身份验证意味着,在服务器端,我们不维护用户状态。服务器完全不知道谁发送了请求,因为我们不维护状态。我们可以通过使用JWT(JSON Web令牌)来实现无状态身份验证。但是在进入基于JWT和基于令牌的身份验证之前,让我们看一下过去使用会话cookie进行身份验证的方式。 状态验证 这个怎么运作? 浏览器..
RESTFUL API API身份认证
qq_51537858的博客
06-08 1274
1.介绍 API 身份验证的常用机制 2.介绍如何进行 API 身份验证在典型业务场景中,为了区分用户和安全保密,必须对 API 请求进行鉴权, 但是不能要求每一个请求都进行登录操作。合理做法是,在第一次登录之后产生一个有一定有效期的 token,并将其存储于浏览器的 Cookie 或 LocalStorage 之中,之后的请求都携带该 token ,请求到达服务器端后,服务器端用该 token 对请求进行鉴权。在第一次登录之后,服务器会将这个 token 用文件、数据库或缓存服务器等方法存下来,用于之后请
RESTful Api 身份认证总结
渴望飞翔的猪
11-07 2447
RESTful API是基于HTTP协议的API(Application Programming Interface),它的核心是将所有的API都理解为一个网络资源,客户端请求资源时操作的是资源的表述而不是资源本身,每条请求都应包含足够的信息来让服务器知道如何处理该消息,即将所有的客户端和服务器的状态转移封装到HTTP请求的Method之中,它拥有Url唯一资源对应的特性。 由于RESTful A...
C#--RestfulAPI--增加header用户名密码验证
qq_37233070的博客
07-26 1046
代码】RestfulAPI——C#——增加header用户名密码验证。
Restful API Client客户端身份验证
qq_47823201的博客
11-25 151
地址 地址2
对于REST中Statelessness的一点认识
a7859574的博客
06-16 280
今天早上在Yahoo的邮件列表里看到一篇颇有意思的讨论,标题为RESTful vs. unRESTful: Session IDs and Authentication(http://tech.groups.yahoo.com/group/rest-discuss/message/12870)。文中让发起讨论的朋友大惑不解的是这样一个问题:为什么在请求中传递SessionID被普遍认为是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值