REST架构确实是一个web的新思想,但我对其中说到的不使用session一直很为疑惑,找了不少资料也没有说怎么解决。
比如一个用户登录后查看自己发过的帖子
传统方式:网站登录界面 -> 登录并在服务端保存session -> 根据用户的ID过滤自己发过的帖子
rest方式:登录界面 -> 登录并在客户端保存用户ID的cookie -> 通过类似于 /listPost/userId/00001 这样的url 去取自己发过的帖子
但是安全性如何保证呢?如果我没有登录直接使用 /listPost/userId/00001 这样的url也可以访问某用户发过的帖子,不是没有安全可言了?
的确如你所说会有安全性问题,这也是反对RESTful的人经常说的,你可以研究下这个链接:
http://www.infoq.com/cn/news/2010/01/rest-api-authentication-schemes
它其实指的session是指不要把数据放在session中,登录的小信息量还是可以放在session中,只是说会话过程中的别的数据不要放在里面