问题
我正在创建一个在 Glassfish 3.1.2.2 上运行的应用程序,并在身份验证昂贵的环境中公开一个 RESTful API。传递凭据并验证每个请求是不可行的——我需要一种基于会话的方法。
我正在考虑使用 BASIC auth 和内存会话复制(应用程序需要支持在集群中部署)。考虑到我只共享“登录”状态,内存复制似乎很昂贵——应用程序的所有其他组件都是无状态的。
我的问题是:有更好的选择吗?
例如,我可以将 Glassfish 配置为将会话状态持久保存到数据库,而不是使用内存复制吗?
我考虑过“会话作为资源”的方法,例如 POST 到 /session 以登录,删除 /session/{id} 以注销。这提供了更多的控制,但是对于服务消费者来说更难(与 BASIC auth 之类的东西相比)。