REST 中的 OAuth 令牌和会话

Question

另一分钟我读了一篇关于 OAuth 的文章。它特别描述了在一系列请求期间客户端和服务提供商之间交换的令牌。

该文章还提到，OAuth 作为授权层在 RESTful API 中获得了广泛的欢迎。据我了解，REST 应该保持完全无状态。

问题是：这种重复的代币交换是否会破坏 REST 的“无状态”原则？恕我直言，令牌可以被视为一种会话 ID，不是吗？

Answer 1

OAuth 令牌是明确的会话标识符，OAuth 令牌协商协议中的请求之间的交互不是无状态的，因为请求必须按特定顺序执行，并且它们确实需要服务器上的每个客户端存储，因为您需要跟踪诸如何时之类的事情他们被发行了。所以，是的，OAuth 确实违反了 RESTful 架构的严格原则。

不幸的是，在现实世界中，我们需要做一些事情，比如允许应用程序代表个人进行身份验证而不请求他们的密码，OAuth 在这方面做得相当好。如果没有这种状态，就不可能实现类似的安全认证方案。事实上，OAuth (1.0a) 所需的更改之一是向令牌协商协议添加更多状态以减轻安全风险。

那么，它是否破坏了 REST 的无状态原则？是的。这有关系吗？除非你住在象牙塔里:-)

Answer 2

身份验证是一种在处理 Web 交互时必须以某种方式跟踪的状态。最终，无论您的应用程序是否是静态的，服务器都必须能够跟踪每个用户的“经过身份验证的状态”，不幸的是，这需要对 HTTP 的底层无状态性质以及任何其他传输/技术（如 REST）进行某种规避。它。

因此，要开发任何类型的经过身份验证的应用程序，必须在某个地方硬塞一个状态原则，如果恰好是 REST 之上的 OAuth，那就一定是这样！