基于 Cookie 的身份验证和 Web API

【问题标题】:Cookie-based authentication and web API基于 Cookie 的身份验证和 Web API
【发布时间】:2014-05-28 17:21:53
【问题描述】:

我正在为我的服务构建一个公共 Web API。网页和原生移动应用程序(iOS、Android 和 Windows 8)同样会使用它。

我应该使用基于 cookie 的身份验证吗?我的意思是,这是这种情况的最佳做法吗?

更多信息:
在对身份验证/授权/openId-connect 字段进行了一些研究之后,我意识到大多数事情都是由浏览器处理的,我的意思是,重定向、coockie 插入和相关的“样板”东西......当我想关于我必须在本地应用程序中复制的所有样板,我想知道该模型是否最适合移动应用程序。我的意思是,也许还有另一种更适合移动原生的方式...

Ps:我知道这还是有点笼统,只是我是安全领域的初学者,我仍然不知道如何正确表达我的怀疑/担忧/“懒惰”......

【问题讨论】:

  • 请尝试添加更多详细信息。您是否已经研究过一些替代方案,以便您可以命名它们。您的应用程序有哪些个别特征。你需要为一个成功的问题付出更多的努力。
  • @AlojzJanez 看看...如果不够好,可以问我问题,以便我回答吗???我认为也许这样我可以更快地达到“富问题状态”......

标签: api cookies


【解决方案1】:

API 本身应该是无状态的,并且不管理任何会话。对 API 的每个请求都应使用身份验证详细信息(例如 OAuth 令牌)。

如果网页和移动应用程序需要维护某种会话,那么应该由它们作为服务的客户端来维护该状态。例如,网页可能会为用户设置会话 cookie,但原生移动应用可能需要完全不同的方法。

另请参阅:If REST applications are supposed to be stateless, how do you manage sessions?

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 2020-10-08
    • 2021-02-08
    • 1970-01-01
    • 2017-05-11
    • 2021-08-09
    • 2011-01-28
    • 2017-04-19
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode