Knockout.js 应用程序中的用户身份验证

Question

（我在 Twitter 上被告知我在这里太含糊了，所以我会尝试进行编辑）

我刚刚开始将 Knockout.js 用于具有 PHP 后端（一个输出 JSON 结果的 API）的应用程序。该应用程序的某些部分将要求用户经过身份验证才能使用它们（这是一个用于投票选出谁“赢得”梦幻棒球联盟中特定交易的应用程序）

我想知道人们如何使用服务器端 API 和框架来处理身份验证，例如昏死。我可以轻松编写接受凭据、验证凭据并返回响应的 PHP 代码，我只是不知道如何使用 Knockout 维护用户已“经过身份验证”的状态。

再加上在多个页面上维护“经过身份验证的状态”的问题，我想知道这如何可能。在 PHP 中，您可以将这些内容存储在会话中，甚至可以使用 cookie。

我有丰富的 PHP 经验，所以我不担心这个小项目的 API 部分。我是 Knockout.js 的初学者（介于 Javascript 的初学者和中级之间），所以任何有关我如何实现这一目标的提示将不胜感激。

Answer 1

不存储经过身份验证的状态。使用响应代码，就像使用任何其他 API 一样。

最终后端流程（简化到极致）会是这样的：

1. 从前端/客户端收到一个请求
2. ，这个请求是否需要权限
   1. 不，转到 4
   2. 是的，转到 3
3. 用户是否已识别
   1. 不，请回复 401
   2. 是，但权限不足，请回复 403
   3. 是的，转到 4
4. 发送响应

在前端/客户端：

1. 向 API 发送请求
2. 响应是否为 HTTP 200
   1. 是的，转到 4
   2. 不，转到 3
3. 这是 401 吗
   1. 是，显示登录屏幕
   2. 否，触发错误
4. 显示结果

如果您突然遇到登录屏幕，这可能不是最好的用户体验设计。不过，这可以通过允许用户在任何时间点进行身份验证来规避，但要求除非绝对必要。 （为了最终的流畅性，您需要能够在身份验证成功后重放失败的请求。）

当然，对于后续请求，这需要您在服务器上运行会话，或者您的传输层可以透明地附加一个OAuth 令牌或类似于身份验证后的请求。

本质上，这与存储经过身份验证的状态相同，但更加透明，并且在任何时候都不会假设状态就是标志所说的那样。例如，假设您使用存储在 memcached 中的会话，该会话会出现段错误并重新启动。这意味着您的会话已经消失，任何经过身份验证的人都不再存在。如果您的前端仍然具有 authenticated = true 并依赖它，那么事情就会崩溃。

更新：

睡了一夜之后，我意识到你必须区分 401 和 403。由于可能存在不同级别的用户，因此你需要 403 来告诉前端/客户端即使该用户可能经过身份验证后，他仍然不被允许访问。

Answer 2

您可以使用 cookie 存储经过身份验证的状态，方法是在任何经过​​身份验证的请求（即登录）的响应标头中发送 cookie。浏览器将保留该信息并将其发送到后续请求的标头中。无需在您的应用程序中手动管理。

您需要设计 Knockout.js 模型来处理未经授权时来自 API 的失败响应，但即使没有身份验证，您仍然会这样做。

（如果您需要在应用程序中了解用户是否在不执行 API 请求的情况下登录，您可以检查 cookie（在 JS 中手动检查，或使用类似 jquery-cookie)

Answer 3

存储 cookie 是个好主意。让它变得简单是关键。