REST 服务中的会话

Question

我正在开发小型 REST 服务，该服务应该支持客户端会话持久性。如您所知，由于 REST，我们无法在服务器上存储任何客户端数据，数据必须存储在客户端，并且客户端的请求必须是自给自足的。那么...我们如何存储客户端会话？通过互联网搜索，我发现了一些实现这一点的方法。例如：我们向客户端发送包含客户端 id(nick...etc) 的加密令牌，如 token = AES(id, SecretKey);然后我们使用密钥授权用户在服务器上解密令牌的每个请求。任何人都可以提供建议吗？也许还有其他好方法来完成相同的功能。哪种加密算法更适合这个？谢谢。

Answer 1

您提到：

如您所知，由于 REST，我们无法在
服务器端，数据必须存储在客户端，并且客户端的请求必须
自给自足。

REST 并不是说​​你不能在服务器上存储客户端数据；而是说你不能在服务器上存储客户端数据。它只是说您不应该在那里存储应用程序状态，您可以将其视为“该客户端正在尝试执行的操作”。

如果您主要尝试拥有经过身份验证的用户的概念，那么标准登录 cookie 就可以正常工作，并且不是“非 RESTful”。

Answer 2

这一切都取决于您对这个问题的回答：为什么您首先需要“会话”概念？

如果您需要确保客户端传递代表一组凭据的 cookie，请考虑让客户端将它们作为 HTTPS 身份验证标头与每个请求一起传递。

如果您需要遵循一些粘性路由规则（以确保客户端的请求发送到特定服务器），请考虑利用这个机会摆脱架构束缚，因为这是扼杀您未来可扩展性机会的最快方法。相反，让您的服务器选择任意。

如果您绝对必须路由到特定节点，请尝试要求客户端传递足够的标识数据，以便您可以使用它来将客户端沿着特定的“泳道”进行散列或分片。例如，您可以根据用户名进行拆分。