用户应用程序状态管理的历史视图
传统意义上的会话将用户的状态保存在服务器内部的应用程序中。这可能是流中的当前页面,也可能是先前已输入但尚未持久化到主数据库中的内容。
这种需求的原因是客户端缺乏有效维护状态的标准,而不需要特定于客户端(即特定于浏览器)的应用程序或插件。
随着时间的推移,HTML5和XML Header Request已经标准化了在客户端(即浏览器端)以标准方式存储包括应用程序状态在内的复杂数据的概念,而无需在服务器之间来回传输。
REST服务的一般使用
REST服务通常在需要执行事务或需要检索数据时调用。
REST服务应该由客户端应用程序调用,而不是由最终用户直接调用。
进行身份验证
对于任何对服务器的请求,请求的一部分应该包含授权令牌。它是如何实现的是特定于应用程序的,但通常是BASIC或CERTIFICATE形式的身份验证。
Form based authentication is not used by REST services. However, as noted above REST services are not meant to be called by the user, but by the application. The application needs to manage getting the authentication token. In my case I used cookies with JASPIC with OAuth 2.0 to connect to Google for authentication and simple HTTP Authentication for automated testing. I also used HTTP Header authentication via JASPIC for local testing as well (though the same approach can be performed in SiteMinder)
根据这些示例,身份验证是在客户端进行管理的(尽管SiteMinder或谷歌将在其端存储身份验证会话),对于该状态无法做任何事情,但它不是REST服务应用程序的一部分。
检索请求
REST中的检索请求是GET操作,其中请求特定的资源并且是可缓存的。不需要服务器会话,因为请求拥有检索数据所需的一切:身份验证和URI。
事务脚本
如上所述,客户端应用程序本身调用REST服务以及它在客户端管理的身份验证。
这对于REST服务(如果操作正确的话)意味着将单个请求发送到REST服务器,该服务器将包含单个用户操作所需的所有内容,该操作执行单个事务所需的所有内容,事务脚本就是该模式的名称。
这通常通过POST请求来完成,但也可以使用其他请求,如PUT。
很多人为的REST示例(我自己做过)试图尽可能多地遵循HTTP协议中定义的内容,在经历了这些之后,我决定更加务实,只把它留给GET和POST。POST方法甚至不需要实现POST- redirect - get模式。
尽管如此,正如我上面提到的,客户端应用程序将是调用服务的应用程序,它只在需要时(不是每次)调用带有所有数据的POST请求。这可以防止对服务器的不断请求。
轮询
尽管REST也可以用于轮询,但我不推荐使用它,除非出于浏览器兼容性的考虑必须使用它。为此,我将使用WebSockets,我也为它设计了API契约。旧浏览器的另一个替代方案是CometD。
