Forma de mantener una sesión en una aplicación REST

Question

Tenemos una aplicación REST que se utiliza principalmente para aplicaciones que no necesitan mantener su estado, por lo que hasta la fecha hemos estado en silencio "RESTFUL" sin mantener un estado. Utilizamos el Private/Public (similar a Amazon) para la autenticación. Actualmente el cliente pasa las credenciales para cada solicitud

Ahora tenemos un nuevo requisito donde tenemos que mantener el estado (o conversación). El cliente puede ser un Aplicación enriquecida o un dispositivo de mano. Estoy tratando de encontrar la mejor manera de implementar el estado. ¿Deberíamos pasar una identificación de sesión y mantener esa identificación? ¿Es esa la mejor y la única solución?

Answer 1

Pasar una ID de sesión no es la única manera y no es la mejor manera de mantener el estado conversacional. La mejor manera, si tiene un RIA es mantener el estado en el propio cliente, donde pertenece, como sugieren algunos de los comentarios. Esto significa que aún se envían las credenciales a cada solicitud.

Re-autenticación en cada solicitud es la única manera, y si siente que hay un rendimiento en el servidor, el servidor puede (como se sugiere) almacenar en caché el resultado de una solicitud de autenticación por un período de tiempo. Digest authentication podría ayudar a evitar las respuestas de almacenamiento en caché mediante la firma criptográfica de los tokens que pasan por el cable.

Si eso no es suficiente, podría usar algo similar a Google ClientLogin, y darle al cliente un token cifrado que se puede verificar sin necesidad de pedir una autorización, y sin pasar las credenciales reales del usuario por el cable. Google ellos mismos haciendo el inicio de sesión a través de https, y luego utilizando los tokens generados a través de http. Está abierto para ataques de repetición durante el tiempo de vida del token.