我有一個使用WCF實現的REST端點。所有來回數據都使用SSL加密。我正在開發一個Web前端(僅使用純HTML和Javascript)來公開服務的功能。但是,我對如何處理身份驗證有點困惑。保護其餘端點
根據Fielding 5.1.3:「...這樣每個來自客戶端的請求都必須包含理解請求所需的全部信息,並且不能利用服務器上存儲的任何上下文。因此完全依靠客戶。「
當然,我想爲應用程序提供一個登錄頁面,允許用戶輸入他們的憑據,然後REST服務將「驗證」它們並確保它們是有效的。但是,如果我保持REST服務無狀態,那麼我在哪裏將身份驗證信息存儲在客戶端?我已經研究過OAuth 1.0和2.0草案等解決方案,但似乎並不是我所需要的。
主要是,我的問題是,如果用戶「認證成功」,我怎麼能保持這種狀態在客戶端?
下面是數據流:
用戶查看登錄頁面---> 瀏覽器提交AJAX請求休息服務和回覆等待---> 服務器返回有效---> 的REST服務現在已解鎖並準備用於當前登錄的用戶範圍內的當前「會話」。
聽起來像一個計劃...謝謝! – 2012-03-07 20:12:19