最近在研究restful,在restful协议中,强调不使用session,但可以少量使用cookie。以保持restful的无状态性。
但是在实际使用中,有一个最大的问题,就是当应用需要用户登陆认证时,应该怎么处理。
在这里我的处理方法主要是把用户登陆后,把用户名+密码+ip地址+最后更新时间通过一个可逆加密后做为token,写入cookie,然后在需要认证的应用时,由php等程序读取cookie中的token,并把用户名、密码、ip地址及最后更新时间解密出来。
先判断时间是否过期,过期的话,清除cookie,要求重新登陆!
再判断cookie中的ip是否与当前客户端ip一致,如果不等,要求重新登陆。
时间和ip都通过的话,则把用户名、密码做判断,判断是否正确,正确的话,把用户基本信息存在一全局变量中!
做后续应用,同时把生成新的token(主要是时间)写入cookie。
这样的话就解决了三个问题
第一、时效,cookie有一个生存时间、同时在token中也存储时间,方便让令牌失效;
第二、解决了cookie欺骗问题,因为token记录了客户端的ip地址;
第三、解决了安全问题,采用可逆加密,就算得到token在没有解密key的情况下也无法破解得用户名及密码。
还有一个情况,同时把token保存到服务器,这样更容易控制!但是把东西记录到服务器的话,其实它不就是session了么,伪session而以,所以还是不建议这么用!
1、用户IP很容易变化,这种情况目前很普遍,比如 ADSL 每隔若干天就会自动断线后重联,导致IP发生变化,也比如停电,也比如移动联网等等;
2、用户修改密码后,将导致登录退出;
3、每次请求都需要重设 Cookie 中的加密串,因为需要更新其中的活跃时间,以保证持久登录状态;
4、密钥以及算法要足够安全,比如员工离职等导致泄漏是非常严重的后果,而且影响范围广;
所以确实不建议这么用,其实 SESSION 在 HTTP 方面从来就没有被替代过,只是实现方式五花八门,以此来适应各种应用环境而已。
同意你的说法!restful事实上,都是使用key+密钥+请求参数 生成sign做用户认证和数据签名