以 RESTful 方式对网页用户进行身份验证的首选方法是什么？

发布于 2024-08-17 09:41:42 字数 676 浏览 13 评论 0原文

我正在开发一个新的实验性 Web 应用程序框架，我决定给予 RESTful 一些关注。我已经阅读了基础知识，感觉我对 RESTful 作为一个概念有了很好的理解。

我已经启动并运行了一个系统，严格使用 URL 来定义系统中的“名词”，并从 HTTP 请求方法中获取“动词”。我使用 javascript ajax 调用来提供对 HTML 表单无法提供的 DELETE 和 PUT 方法的访问。（我意识到这些措施并不严格要求是 RESTful，但它满足“统一接口”要求）。

问题在于身份验证的无状态性和可缓存性。网站上用户身份验证的标准模型涉及“登录”身份验证事件，之后（如果成功）用户将处于“墙内”并具有持续的安全会话，并且可以根据后续请求查看和执行未经身份验证的用户可能看不到的操作。这种身份验证的持久性似乎破坏了 RESTful 性。缓存和无状态性似乎被破坏了，因为经过身份验证的用户可能会看到与未经身份验证的用户在同一请求中看到的 HTML 不同的 HTML（例如，侧边栏中可能有一个用于登录的登录表单）出用户）。

使用 www 身份验证策略仅对需要身份验证的请求进行用户身份验证似乎是朝着正确方向迈出的一步，因为它不涉及持久安全会话的概念。然而，仍然存在一个问题，即如何向最终用户描绘“已登录”的外观，以符合我们对网站的期望。

那么，在当前的想法中，以严格的 RESTful 方式处理网页的身份验证和许可，同时仍然允许在 HTML 中进行登录装饰的首选方法是什么？

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

书间行客 2024-08-24 09:41:42

“网站上用户身份验证的标准模型涉及“登录”身份验证事件，之后（如果成功）用户将在“墙内”进行持久的安全会话”

这实际上并不正确。这在一定程度上是正确的，但仅适用于发明自己的身份验证的网站。
如果您使用“摘要式身份验证”，浏览器必须随每个请求发送凭据。
如果

摘要式身份验证（每个请求的凭据）完全是 RESTful。

这样做。

为了使事情稍微简化一些，您可以根据时间计算摘要身份验证 Nonce，以便它在一段时间内有效（6 分钟、0.1 小时都可以）。每个请求几分钟后都会发送 401 状态并需要重新计算摘要。

回复收藏 0 原文

梦行七里 2024-08-24 09:41:42

这种身份验证的持久性
似乎破坏了 RESTful-ness

您可能会考虑创建一个会话，而不是对用户进行身份验证。您将收到一个新的“会话 ID”以及相应的 HTTP 状态代码（200：正常、403：禁止等）。

用户可能会看到 HTML，它是
与a不同的是
未经身份验证的用户将看到
相同的请求

您将询问您的 REST 服务器：“您能给我这个会话 ID 的 HTML（或任何资源）吗？”。 HTML 将根据“会话 ID”而有所不同。

通过这种方法，“持久安全会话”就不再存在障碍。您只是在执行会话。

如果您选择此方法，名词（或资源）将代表实际会话。

回复收藏 0 原文

绅刃 2024-08-24 09:41:42

在具有用户特定元素的页面的中介中保留可缓存性的一种选择是通过 Ajax 添加用户特定标记。您为每个用户提供相同的页面，包括一些 JavaScript，这些 JavaScript 将对资源执行 XHR 请求，该资源根据用户登录返回不同的内容。然后，您将其合并到客户端的页面中。页面的主要部分将可缓存，因为它对于每个用户都是相同的。

另一种选择是使用 ESI（边缘包含）。有了这些，缓存本身就可以合并不同的表示形式来构建最终结果。

回复收藏 0 原文