是否有实际原因表明在每个 http 请求上对用户进行身份验证是不好的?假设我有一个单页 Web 应用程序,并且我对每个 ajax 请求(好吧,每个请求特定于用户的信息的请求)都使用 https post,并包括用户名和密码。
现在,在我被问到之前 - 原因是我想让 Web 服务器保持无状态。除了密码通过网络发送的次数多于其他情况外,我实际上无法想到这里的具体问题。在其他条件相同的情况下,我希望尽可能少地发送它,但我看不出多次发送它的风险有多高。
有什么非常明显的我想念的吗?
是否有实际原因表明在每个 http 请求上对用户进行身份验证是不好的?假设我有一个单页 Web 应用程序,并且我对每个 ajax 请求(好吧,每个请求特定于用户的信息的请求)都使用 https post,并包括用户名和密码。
现在,在我被问到之前 - 原因是我想让 Web 服务器保持无状态。除了密码通过网络发送的次数多于其他情况外,我实际上无法想到这里的具体问题。在其他条件相同的情况下,我希望尽可能少地发送它,但我看不出多次发送它的风险有多高。
有什么非常明显的我想念的吗?