当我编写需要身份验证的 Web 服务时,我通常必须在两个选项之间进行选择:
我可以有一个创建会话的专用身份验证调用。所有后续调用都通过 cookie 进行身份验证。这正是您在经典网站中进行身份验证的方式。这不难写,但也不是无状态的。
我可以在每个请求上发送身份验证信息(例如凭据、令牌等)。这样它是无状态的,但有更多的开销。
是否有建议的最佳做法,你应该走哪条路?为什么?
当我编写需要身份验证的 Web 服务时,我通常必须在两个选项之间进行选择:
我可以有一个创建会话的专用身份验证调用。所有后续调用都通过 cookie 进行身份验证。这正是您在经典网站中进行身份验证的方式。这不难写,但也不是无状态的。
我可以在每个请求上发送身份验证信息(例如凭据、令牌等)。这样它是无状态的,但有更多的开销。
是否有建议的最佳做法,你应该走哪条路?为什么?