6

我最近一直在考虑如何让我的 webframework/application-stack 正确。我正在慢慢转向 scala 和函数式编程(来自 Python 和 CherryPy)。因此很自然地研究 Play,因为它是最广泛支持的框架(现在甚至 Typesafe 都采用了它)。如果我在这里遗漏了什么,请随时纠正我。

所以 play 真的接受了无状态 webapps 的想法,我很难在身份验证和授权方面围绕它进行思考。现在经过一些在线挖掘(基于表单的网站身份验证的权威指南),我得出结论,必须在每次调用我的后端(JSON-RPC 或其他)时进行身份验证和授权,远离旧会话 -饼干的想法。

现在,用当今的技术实现这一目标的最佳方法是什么?

那么:

我想到了“简单”的 DigestAuth,因为它已经被证明和广泛使用,但是它与旧的和生锈的基本身份验证具有相似的感觉。

谢谢!

4

2 回答 2

2

您可以轻松获得工作解决方案。但是,不是一个好人。似乎无状态对有状态的优势是不需要共享会话。易于扩大规模。但是,为每个呼叫进行身份验证是昂贵的。有时甚至添加一些额外的数据库读取操作。这会减慢响应速度。如果要缓存认证结果,那么与有状态会话解决方案没有区别。正如我的意见。您不能以无状态的方式实现基于角色的访问控制!

于 2013-06-12T13:41:33.010 回答
0

至于我,我在我当前的项目https://github.com/t2v/play20-auth中使用它,工作正常。

于 2013-04-30T18:59:39.703 回答