4

我喜欢使用 ServiceStack,但一位同事提出了一个我无法回答的问题。Authentication 机制设置一个ss-pid和一个ss-idcookie,这里解释:https ://github.com/ServiceStack/ServiceStack/wiki/Sessions

尝试访问受限资源时,需要提供这些 cookie,否则您将收到401 Not Authorized结果。

我的问题是这个。为什么使用 cookie 而不是包含sessionId或等效 cookie 值的自定义 HTTP 标头值?是不是因为cookie本身就有自己的机制来维护过期?在 HTTP 标头上使用 cookie 的设计决策是什么?

4

1 回答 1

8

HTTP Cookie 具有固有的粘性,是通过 HTTP 维护会话的最合适方式。在服务器指示客户端添加 Cookie 后,客户端向同一服务器发出的每个后续请求也将保留该 cookie - 这就是启用客户端/服务器会话的原因。

于 2013-03-15T17:39:54.760 回答