अस्वीकरण: मैं विचार के आरईएसटी स्कूल में नया हूं, और मैं इसके चारों ओर अपने दिमाग को लपेटने की कोशिश कर रहा हूं।क्या आप इसे समझने में मेरी मदद कर सकते हैं? "सामान्य आरईएसटी गलतियों: सत्र अप्रासंगिक हैं"
तो, मैं इस पृष्ठ को पढ़ रहा हूं, Common REST Mistakes, और मैंने पाया है कि मैं सत्रों पर अप्रासंगिक होने के अनुभाग से पूरी तरह से परेशान हूं। पृष्ठ यही कहता है:
क्लाइंट "लॉगिन" या "कनेक्शन प्रारंभ करने" के लिए कोई आवश्यकता नहीं होनी चाहिए। HTTP प्रमाणीकरण स्वचालित रूप से प्रत्येक संदेश पर किया जाता है। ग्राहक एप्लिकेशन संसाधनों के उपभोक्ता हैं, सेवाओं नहीं। इसलिए में लॉग इन करने के लिए कुछ भी नहीं है! आइए कहें कि आप REST वेब सेवा पर उड़ान बुकिंग कर रहे हैं। आप सेवा के लिए नया "सत्र" कनेक्शन नहीं बनाते हैं। इसके बजाय आप एक नया यात्रा कार्यक्रम बनाने के लिए "यात्रा कार्यक्रम निर्माता ऑब्जेक्ट" से पूछें। आप रिक्त स्थान भरना शुरू कर सकते हैं लेकिन फिर कुछ अन्य रिक्त स्थान भरने के लिए वेब पर कहीं और विभिन्न घटक प्राप्त करें। कोई सत्र नहीं है इसलिए क्लाइंट के बीच सत्र स्थिति माइग्रेट करने की समस्या नहीं है। सर्वर में "सत्र संबंध" के अंक भी नहीं हैं (हालांकि अभी भी जारी रखने के लिए बाध्यकारी समस्याएं हैं)।
ठीक है, मुझे लगता है कि प्रत्येक संदेश पर HTTP प्रमाणीकरण स्वचालित रूप से किया जाता है - लेकिन कैसे? क्या उपयोगकर्ता नाम/पासवर्ड हर अनुरोध के साथ भेजा गया है? क्या यह सिर्फ हमले सतह क्षेत्र में वृद्धि नहीं करता है? मुझे लगता है कि मैं पहेली का हिस्सा लापता हूं।
क्या /session
कहें, आरईएसटी सेवा होने के लिए बुरा होगा, जो अनुरोध के हिस्से के रूप में उपयोगकर्ता नाम/पासवर्ड में पास होगा, और प्रमाणीकरण सफल होने पर सत्र टोकन देता है , जिसे बाद के अनुरोधों के साथ पारित किया जा सकता है? क्या यह एक आरईएसटी दृष्टिकोण से समझ में आता है, या क्या यह बिंदु गुम है?
यह उत्तर मुझे कोई समझ नहीं आता है। सबसे पहले, यह कहता है कि हर बार लॉगिन और पासवर्ड पास करना ठीक है और इस तरह एक बार भी, जो समझ में आता है। फिर, ग्राहक को वापस जाने का विचार टोकन के रूप में सफल लॉगिन स्थिति का सुझाव दिया जाता है। यदि आवश्यक हो, तो टोकन सृजन के समय को एन्कोड कर सकता है। हमें निश्चित रूप से ग्राहक को जानकारी वापस करने की अनुमति है। तो, यह सुझाव मेरे लिए ठीक लगता है। जवाब कहता है कि यह ठीक नहीं है क्योंकि "यह राज्य करता है," लेकिन "आरईएसटी" में "एसटी" का विचार नहीं है कि राज्य को ग्राहक और सर्वर के बीच स्थानांतरित किया जा सकता है? –