【发布时间】:2013-04-08 04:05:02
【问题描述】:
我什至不明白用户会话信息是如何在常规 HTTP/S GET 调用中保留的,我指的是细节,例如服务器/客户端交换中的代码和数据逐行 .我基本上知道它是服务器上的一个会话对象,其中包含您需要的内容,并且该对象的 id 包含在“cookie”WTHTI 中。这变得不透明(对Javascript)与服务器来回传递。该死的那个碰不得的饼干。
我想在 python/AppEngine 中实现会话 CRUD 数据库端点。进行会话持久性的最佳方法是什么? (没有框架、插件或现成的解决方案,我想了解)。我什至不知道这到底是如何在任何应用程序中实际完成的,但这很常见。
我猜想每个 API 调用都会发送一个令牌,但不是很乱,只是在客户端的 Javascript/DOM 中有一个令牌?
cookies 怎么样,cookies 到底是怎么工作的?这对我来说是一个盲点,而且非常重要。我不知道为什么它不透明且不易于实施。
如果我们所做的只是将一个 id 来回传输并转发给 Ident 用户,并调用用户的会话对象,那么 cookie 和(不可食用的)令牌有什么区别?
是否完全可以只进行用户身份验证、转换到会话、只使用令牌,还是必须使用 cookie?
我正在实现我自己的自定义身份验证(在 webapp2_extras 的背面),它将使用安全的 url 和所有常用的 saltyhashed 密码预防措施。但是我所有的 AJAX 机器的“令牌”和“cookie”会话部分仍然让我大吃一惊。
【问题讨论】:
标签: ajax google-app-engine session cookies access-token