如何理解“RESTful API 是无状态的”?
Posted
技术标签:
【中文标题】如何理解“RESTful API 是无状态的”?【英文标题】:How to understand "RESTful API is stateless"? 【发布时间】:2016-03-11 20:19:51 【问题描述】:我听说“RESTful API 应该是无状态的。所有状态信息都应该保存在客户端”。
但是当我从网页发出 AJAX 调用时,我注意到会话 ID cookie 总是被发送到服务器。使用该会话 ID,我可以获得服务器上的会话对象,因此我可以“获取/设置会话中的一些状态信息”。
这会破坏 RESTful API 的“无状态代码”吗?
添加 1
(我的问题背景如下。)
我尝试通过调用 RESTful API 来验证用户名和密码来实现登录页面。
每次用户尝试访问我网站的页面时,登录 servlet filter
将检查该用户的 session
(这是调用 getSession()
的地方)以查看是否存在有效的登录信息。如果没有,登录过滤器会将用户重定向到登录页面。
在登录页面上,使用用户名和密码对服务器上的 RESTful API 进行 AJAX 调用。根据 RESTful API 调用的结果,页面上的 javascript 将决定是否让用户进入我的网站。
所以,在这种情况下,我不得不使用session
。
详细代码在这里: Is this login logic via RESTful call sound?
【问题讨论】:
你不应该让客户端上的javascript决定是否让用户进入网站。客户端不可信。 好的,我很难在没有看到实际代码的情况下评论细节,但请记住,用户可以在运行之前更改客户端代码,并替换对登录功能的调用不断说登录没问题。 毫无疑问,REST API 不能依赖于 HTTP 会话。看看我前段时间提供的answer。它会给你一些关于如何执行身份验证的灵感。该方法使用令牌,但可以修改以涵盖其他类型的身份验证。 @CássioMazzochiMolin 我同意你的看法。但是为什么HttpSession
参数仍然可以在 RESTful API 签名中指定呢?看来Spring框架permits
在RESTful API中使用了session。或者这只是依赖注入的副作用/巧合/误用? (参考:***.com/questions/26588310/…)
正如我之前提到的,nothing 会阻止您调用 HttpServletRequest.getSession()
并打破 REST 无状态约束。你提到的问题链接a good question about common REST mistakes。
【参考方案1】:
简单地说:在 REST 应用程序中,每个请求都必须包含服务器理解所需的所有信息,而不是依赖于服务器记住之前的请求。
在服务器上存储会话状态违反了 REST 架构的无状态约束。所以会话状态必须完全由客户端处理。
继续阅读以了解更多详情。
会话状态
传统的网络应用程序使用远程会话。在这种方法中,应用程序状态完全保存在服务器上。请参阅 Roy T. Fielding 的 dissertation 的以下引用:
3.4.6 Remote Session (RS)
远程会话样式是客户端-服务器的一种变体,它试图最小化客户端组件而不是服务器组件的复杂性,或最大化重用性。每个客户端在服务器上发起一个会话,然后调用服务器上的一系列服务,最终退出会话。应用程序状态完全保存在服务器上。 [...]
虽然这种方法带来了一些优势,但它降低了服务器的可扩展性:
远程会话样式的优点是更容易在服务器上集中维护接口,减少对功能扩展时部署的客户端不一致的担忧,如果交互使用扩展会话上下文来提高效率服务器。缺点是由于存储了应用程序状态,它降低了服务器的可扩展性,并降低了交互的可见性,因为监视器必须知道服务器的完整状态。
无状态约束
REST 架构风格定义在一组约束之上,包括服务器的无状态。根据 Fielding,REST 无状态约束定义如下:
5.1.3 Stateless
[...] 从客户端到服务器的每个请求都必须包含理解请求所需的所有信息,并且不能利用服务器上存储的任何上下文。因此,会话状态完全保留在客户端上。 [...]
这个约束引入了visibility、reliability和scalability的属性:
提高了可见性,因为监控系统不必超越单个请求数据来确定请求的全部性质。可靠性得到了提高,因为它简化了从部分故障中恢复的任务。可扩展性得到了改进,因为不必在请求之间存储状态允许服务器组件快速释放资源,并进一步简化了实现,因为服务器不必跨请求管理资源使用情况。
认证与授权
如果客户端请求需要身份验证的受保护资源,则每个请求都必须包含正确验证/授权所需的所有数据。请参阅RFC 7235 中的这句话:
假定 HTTP 身份验证是无状态的:必须在请求中提供对请求进行身份验证所需的所有信息,而不是依赖于服务器记住先前的请求。
并且身份验证数据应该属于标准的 HTTP Authorization
标头。来自RFC 7235:
4.2. Authorization
Authorization
标头字段允许用户代理向源服务器验证自己的身份——通常但不一定在收到401
(未授权)响应后。它的值由凭证组成,其中包含正在请求的资源领域的用户代理的身份验证信息。 [...]
这个 HTTP 头的名字很不幸,因为它携带 authentication 而不是 authorization 数据。
对于身份验证,您可以使用Basic HTTP Authentication 方案,它将凭据作为用户名和密码对传输,使用 Base64 编码:
Authorization: Basic <credentials>
如果您不想在每个请求中发送用户名和密码,可以将用户名和密码交换为在每个请求中发送的令牌(例如JWT)。 JWT 可以包含用户名、到期日期和任何其他可能与您的应用程序相关的元数据:
Authorization: Bearer <token>
你的服务器可能有什么问题
一旦你有了会话标识符,我猜想你的应用程序中某处正在创建一个 HTTP 会话。它可以在您自己的代码中,也可以在您正在使用的框架的代码中中。
在 Java 应用程序中,您必须确保以下方法不会被调用:
HttpServletRequest#getSession()
HttpServletRequest#getSession(boolean)
与 true
【讨论】:
谢谢。所以基本上,如果我遵循 RESTful 方法,HTTP 协议是我唯一的朋友。是的,我正在使用HttpServletRequest.getSession()
电话。似乎技术本身并不能阻止我这样做(实际上它有点像lures
我这样做)。我需要坚持discipline
。
@Cássio Mazzochi Molin,很好——我想我现在理解得更好了:这里的无状态实际上意味着每个连接都是“新的”,从某种意义上说,我们不必“证明”到我们在先前请求中发起会话的服务器(例如 cookie 的情况)。不可能在不同请求之间“中断”“会话”,因为现在没有。
@dinvlad 没错。在 RESTful 应用程序中,没有服务器端的会话之类的东西。以受保护资源为目标时,请求必须携带要进行身份验证/授权的凭据。保护 REST 应用程序的常用方法是基于 HTTPS 的基本身份验证。在这种方式中,客户端必须在每个请求中发送用户名和密码,然后服务器才能进行身份验证/授权。
@dinvlad 在基于令牌的认证方案中,令牌成为用户的凭证。用户名和密码等硬凭证被交换为必须在每个请求中发送的令牌,然后服务器可以执行身份验证/授权。令牌可以在短时间内有效,可以撤销,可以携带范围详细信息(可以使用令牌请求的内容)等。
没有任何带有数据库的应用程序意味着它不是无状态的吗?你在哪里画出使请求有状态的界限?除非您的应用程序只是纯函数,否则它必须从某个地方存储和检索数据,因此输入并不能完全确定输出。会话状态有何不同?这只是与当前用户正在做什么相关的另一种应用程序状态。以上是关于如何理解“RESTful API 是无状态的”?的主要内容,如果未能解决你的问题,请参考以下文章