看看这篇文章吧，跟我的想法比较接近，看来是要回归http本质的时候了 <- 中国开发网

CNDEV.ORG

当前在线

论坛

CBD
- 程序员情感CBD
- 程序员见面交流会
CBD开发区
- Java/J2ME
- .NET/C#
- 数据库
- Delphi/BCB
- Visual C
其它
情感
游戏
- CNDEV-CS/WOW
- 浩宇长空
生活
论坛系统

bmkun：看看这篇文章吧，跟我的想法比较接近，看来是要回归http本质的时候了

[阅读: 551] 2010-05-26 02:54:06

http://www.extjs.com/learn/Manual:RESTful_Web_Services_%28Chinese%29

安全和认证应该依赖http服务本身，认证系统应该是独立的，Basic Authentication安全小项目足够了，主要的技巧是处理401错误，以前在Exchange项目上也遇到过，还是学艺不精啊，原来大公司的产品没有很好的研究，当然购买独立的SSO产品也是可行，但是成本会上升

【方舟子和周立波共同的女人】

long长long长
杀伤力强
。
。
。
。
。
。
。
。
。
。
。
。
。
。
。
。
。。
。
。
。
。
。

相关信息:

海豹人请进，关于rest的 (135字) (bmkun [797] 2010-05-25 17:13)
- 是的，可以用单点登录+证书的方式来实现访问控制 (空) (sealw [353] 2010-05-25 17:51)
  - 有没有简单一点的方法啊 (空) (bmkun [359] 2010-05-26 09:28)
    - 对于会做的人，这也是不复杂的。要控制，就会有代价。如果觉得值，就去付出。 (空) (sealw [397] 2010-05-26 09:59)
      - 其实有个简单的方法，就是启用http认证访问，但是感觉怪怪的，总觉得和以前不一样 (空) (bmkun [372] 2010-05-26 10:28)
        也可以。习惯了就好了。 (空) (sealw [369] 2010-05-26 12:26)
- 不管怎么做，session是肯定要的吧 (78字) (haitao [406] 2010-05-26 09:33)
  - 早期的Web，没有cookie，也没有session (空) (sealw [297] 2010-05-26 10:05)
    - http是非连接的，前后2个请求是不是同一个人，肯定需要验证的——这个验证的信息，统称就是session (82字) (haitao [437] 2010-05-26 10:51)
    - 早期的 web 没有 app (空) (holly [331] 2010-05-26 11:10)
      - 论坛就是一个app了，张三登录的，不能以李四的名义发帖；棋室也是一个app了，在room#1下的棋步，不能显示到room#2去 (空) (haitao [332] 2010-05-26 11:13)
  - http头里面可以带验证信息吧 (空) (leejd [352] 2010-05-26 10:08)
    - cookie就是在头里啊 (38字) (haitao [353] 2010-05-26 10:44)
      - cookie跟http验证是两回事吧 (22字) (leejd [371] 2010-05-26 10:49)
        验证前后2个请求是不是来自同一个人。。。。。。。。 (15字) (haitao [391] 2010-05-26 10:53)
    - 看看这篇文章吧，跟我的想法比较接近，看来是要回归http本质的时候了 (222字) (bmkun [550] 2010-05-26 10:54)
      - 本质就是一个非连接、无状态的协议，怎么实现依赖连接、状态的应用 (40字) (haitao [408] 2010-05-26 11:08)
      - 不见得, 这也不过是一家之言而已. 使用 session 也还是有其价值的. (空) (holly [302] 2010-05-26 11:08)
        只是大师的话让人陷入矛盾，mmd,一句服务端无状态，搞出那么多麻烦，session当然有价值了，一直想尽量靠拢RESTful,否则直接用session在web应用中很简单，但是失去…… (101字) (bmkun [1057] 2010-05-26 11:16)
        其实, 适合的应用场景不同而已 (37字) (holly [405] 2010-05-26 11:21)
        做云存储的API最合适了 (空) (leejd [337] 2010-05-26 11:23)
        云存储也要区分你还是我，否则我能取你的数据，还行吗！ (63字) (haitao [441] 2010-05-26 11:26)
        http验证足够了 (9字) (leejd [379] 2010-05-26 12:07)
        session的传递，用户根本就不知道，不用关心的。。。。。。。。。 (空) (haitao [330] 2010-05-26 12:18)
        人家可以每次都传用户名和密码过去，不需要session (空) (leejd [341] 2010-05-26 12:26)
        呵呵，这是早期的不安全的session做法了。。。。。。。。。 (76字) (haitao [443] 2010-05-26 12:32)
        对，让大师理论见鬼去吧，需要妥协，很多目前主流的技术都是妥协的结果 (空) (bmkun [415] 2010-05-26 11:28)
        不过session的引入确实要带来不少麻烦，真不知道别的系统将来访问本系统URI的时候会出什么问题 (42字) (bmkun [549] 2010-05-26 11:25)
        不要硬套，要看需要 (209字) (sealw [464] 2010-05-26 13:24)
  - 当然可以没有 session (空) (holly [350] 2010-05-26 11:10)
    - 没有session的是新闻、公告板，单向、公开的，谁都可以看的。。。。。。。。 (37字) (haitao [477] 2010-05-26 13:29)

欢迎光临本社区，您还没有登录，不能发贴子。请在这里登录

页面内容处理时间: 0.017 - 495680