session - आरएएसटी में ओथ के टोकन और सत्र




rest oauth (2)

दूसरे मिनट में मैंने ओथ पर एक लेख पढ़ा। यह विशेष रूप से टोकन को अनुरोधों की एक श्रृंखला के दौरान ग्राहक और सेवा प्रदाता के बीच आदान-प्रदान किया जा रहा है।

लेख में यह भी उल्लेख किया गया है कि ओथ को प्राधिकरण परत के रूप में रीस्टफुल एपीआई में महत्वपूर्ण लोकप्रियता प्राप्त हुई है। जैसा कि मैंने समझा, आरईएसटी पूरी तरह से स्टेटलेस रखा जाना चाहिए।

प्रश्न: क्या यह दोहराया टोकन एक्सचेंज टारपीडो आरईएसटी का "स्टेटलेस" सिद्धांत नहीं है? आईएमएचओ टोकन को एक प्रकार की सत्र आईडी के रूप में देखा जा सकता है, है ना?


ओथ टोकन स्पष्ट रूप से एक सत्र पहचानकर्ता हैं, ओएथ टोकन वार्ता प्रोटोकॉल में अनुरोधों के बीच बातचीत स्थिर नहीं है क्योंकि अनुरोध एक विशिष्ट अनुक्रम में किया जाना चाहिए, और उन्हें सर्वर पर प्रति-क्लाइंट स्टोरेज की आवश्यकता होती है क्योंकि आपको चीजों को ट्रैक करने की आवश्यकता होती है वे जारी किए गए थे। तो हाँ, ओथ एक विश्वसनीय वास्तुकला के सख्त सिद्धांतों का उल्लंघन करता है।

दुर्भाग्य से वास्तविक विश्व टीएम के साथ संघर्ष करने के लिए जहां हमें चीजों को करने की आवश्यकता है जैसे अनुप्रयोगों को उनके पासवर्ड का अनुरोध किए बिना व्यक्तियों की ओर से प्रमाणित करने की अनुमति दें, जो ओएथ काफी अच्छी तरह से करता है। इस तरह के राज्य के बिना एक समान सुरक्षित प्रमाणीकरण योजना को कार्यान्वित करना असंभव होगा। दरअसल, ओएथ (1.0 ए) द्वारा आवश्यक परिवर्तनों में से एक सुरक्षा जोखिम को कम करने के लिए टोकन वार्ता प्रोटोकॉल में अधिक राज्य जोड़ना था।

तो, क्या यह आरईएसटी के स्टेटलेस सिद्धांत को टारपीडो करता है? हाँ। क्या वो वजह बन रही हे? जब तक आप एक हाथीदांत टावर में रहते हैं :-)


प्रमाणीकरण एक ऐसा राज्य है जिसे वेब इंटरैक्शन में काम करते समय किसी भी तरह ट्रैक किया जाना चाहिए। आखिरकार यदि आपका ऐप आराम से है या नहीं, तो सर्वर प्रत्येक उपयोगकर्ता को "प्रमाणीकृत स्थिति" ट्रैक करने में सक्षम होना चाहिए और दुर्भाग्यवश, इसके लिए HTTP की अंतर्निहित स्टेटलेस प्रकृति और किसी भी अतिरिक्त ट्रांसपोर्ट / तकनीक (जैसे आरईएसटी) की किसी प्रकार की छेड़छाड़ की आवश्यकता है। यह।

इसलिए किसी भी तरह के प्रमाणीकृत ऐप को विकसित करने के लिए, राज्य का एक सिद्धांत कहीं कहीं शर्मीला होना चाहिए, और यदि ऐसा होता है तो आरईएसटी के शीर्ष पर ओएथ होना होता है, तो यह कैसे होना चाहिए!







stateless