我正在设计我的应用程序,它将具有标准的 Web 和 Android 前端组件,它们都通过 RESTful API 访问数据。我计划使用 Glassfish 和 Jersey 来提供 REST。
从哲学上讲,我被卡住的地方是 REST 规范不维护任何会话数据的方法,这需要每个请求都提交身份验证凭据。我想要做的是将会话的标准 Web 应用程序概念合并到我的 REST 服务中,例如:
- 用户提交请求
- 来自他们浏览器的 SessionID 会根据 API 服务器的已验证和打开会话列表进行验证
- 如果为 TRUE,则提供 REST
- 如果 FALSE 返回一个失败的代码,用户需要提交摘要格式的身份验证凭据以进行身份验证,然后他的会话开始
我只是不想每次都重新验证。
我的问题是:
- 为什么 REST 如此坚持不维护任何需要重复身份验证的会话数据?
- 可以轻松修改 Jersey/Glassfish 以适应我对规范的偏差吗?
谢谢