我为注册或非注册用户创建带有 Backbone 和 RequireJS 的 js 应用程序。为了从数据库中检索数据,我使用简单的 JSON Web 服务,当然有些方法不适用于 quest。问题是我不知道应该在哪里或如何存储从服务器检索的身份验证数据,而无需在每个视图中重新加载它。我应该使用 cookie 吗?
问问题
845 次
1 回答
6
我想这取决于您的身份验证、授权方法以及您需要为用户考虑的安全类型。如果您尝试使用 RESTful,则不能有会话来保存状态(至少在服务器端)。你可以,但如果这对你很重要的话,由于在服务器上保存状态,它不会是 RESTful 的。我听说保存状态客户端是可以的,但根据我的阅读,我不确定社区对采用这种方法的某些实现有何看法。(就像饼干一样,我稍后会重新讨论。)
假设您有人使用用户名和密码登录。您可以在 Backbone 应用程序中保存该信息,也许您有一个名为 AUTH 的模型来执行此操作。每次您向服务器发出请求时,您都会在每次行程中发送该数据,此时服务器会进行身份验证并授予或拒绝对给定资源的访问权限。如果您使用基本身份验证,我认为此信息将在标题中。使用 SSL 减轻了围绕通过网络发送此信息的一些主要安全问题,在接下来的讨论中,让我们假设这是我们正在使用的。
您可以这样做的另一种方法是使用加密的 cookie,加密的 cookie 会话。这就是我对当前应用程序所做的事情。老实说,我不知道这是否被认为违反了 RESTful 原则。网络上的一般喋喋不休似乎有很多“cookie 不好,会话不好”,有些人说,“变得真实”。如果有人可以访问用户的计算机,使用 cookie 会使您面临 cookie 劫持,但根据您的应用程序和安全需求,这可能不是一个不合理的选择。它对我有用,如果它不是 RESTful,我喜欢称它为 RESTLike。
要关闭,我将仅描述我的设置。很高兴能得到您的想法以及 Stack 对此的看法。
基本上我有一个设置,当有人进入主页时,服务器会检查加密的 cookie 会话。如果 cookie 会话无效或不存在,它会为用户提供常规页面登录机会。当他们登录时,我通过 POST 发送该信息,因此它位于请求的正文中,而不是 URI。(这在技术上违反了 REST HTTP 动词概念,因为您使用 POST 来保存资源。)处理该信息时,检查用户名,传递由唯一盐创建的哈希,然后服务器创建一个加密的会话 cookie 并传递它返回给用户。现在,每次我的用户点击需要身份验证的路由时,服务器都会检查 cookie 以确保它仍然有效(时间限制、用户信息等),如果是,则允许访问。如果不,它会破坏 cookie 信息并发送回适当的状态代码。主干应用程序通过重置任何不应该在未经身份验证的用户手中的视图和数据来对此做出反应,并向他们显示登录屏幕。
希望这能给你一个想法。这是我如何做的答案,但如果有人有批评或更好的想法,我很乐意支持他们。
于 2012-03-26T04:04:53.313 回答