我可以在 Web 应用程序的会话变量中保存多少状态？

Question

我正在为我正在创建的 Web 应用程序编写 REST/RPC API。从我了解到的情况来看，REST 背后的核心理念之一似乎是不维护任何状态。也就是说，我发现自己在做一些事情，比如在服务器端将会话标记为经过身份验证，这感觉就像保存状态。我应该采取这种做法多远？我应该在哪里画线？还有其他一些东西可以非常方便地保存为会话变量的一部分，但我想知道我怎么知道什么时候不应该或不应该这样做。

我希望这是提出这个问题的合适场所。我曾在是否将其发布在程序员中进行了辩论，但这感觉更合适。

更新：

有人告诉我，使用票务系统比使用会话变量来维护身份验证信息等内容要好。有人可以包括并回答对这种票务系统如何工作的高度描述吗？

Answer 1

您是对的 - REST 调用在理想情况下是无状态的，并且将某些内容存储在会话变量中并将其用于 REST 调用是令人厌恶的。例如，您不能保证 RESTful 客户端甚至可以发送会话变量所需的 cookie 信息。

如果您需要身份验证，那么您应该有返回票证之类的 REST 调用，然后 REST 调用者会将该票证作为另一个调用的一部分发送。

更新 对于票务系统，您通常希望使用相同的身份验证或类似的身份验证系统。例如，如果您需要用户名和密码，您可能希望票证请求 POST。票证是在后续调用中传递的 GUID。服务器上的票可以存储在会话中，也可以存储在数据库中（我通常有一个 TICKETS 表，其中包含到期日期等信息）。

$result = file_get_contents('http://site.com?action=auth&user=matt&password=pass');
// parse $result XML for ticket or auth error
// subsequent calls...
$result = file_get_contents('http://site.com?action=getSomething&ticket=" . $ticket);

QuickBase 以这种方式工作 - 您发送一个带有用户名、密码和 api 应用令牌的 API_Auth 操作，并获得一张票作为回报。然后在后续调用中传递您的 api 应用令牌和票证 - GET 请求和 POST 发送。