cookie禁止的情况下，rest api怎么验证session？

水木社区手机版

主题:cookie禁止的情况下，rest api怎么验证session？
楼主|cn62|2013-09-21 22:02:22|只看此ID
一个应用，大部分交互通过调用服务器端的rest api完成。
在session cookie工作正常的情况下，rest api应该可以方便的通过session验证用户的合法性。
但如果浏览器session cookie被禁止，rest api应该怎么验证用户了？
在rest api url里带上session id吗？
--
FROM 27.151.93.*
1楼|syssky|2013-09-21 22:45:17|只看此ID
token啊
--
FROM 59.151.95.*
2楼|cn62|2013-09-21 23:02:47|只看此ID
是说自己弄一套token认证，还是说在HEAD里放个token参数直接存放session id？
如果是第一种有什么标准的做法吗？

【在 syssky 的大作中提到: 】
: token啊
--
修改:cn62 FROM 27.151.93.*
FROM 27.151.93.*
3楼|huaxinjuedui|2013-09-22 00:25:15|只看此ID
不用考虑禁用session，cookie的情况
除非这个浏览器不上网。。

【在 cn62 的大作中提到: 】
: 是说自己弄一套token认证，还是说在HEAD里放个token参数直接存放session id？
: 如果是第一种有什么标准的做法吗？
:
--
FROM 120.128.2.*
4楼|dhcn|2013-09-22 12:32:57|只看此ID
你这个有点不伦不类，你说你要是面向刘浏览器，现在一般就不考虑Cookie被禁止的情况，很久之前会考虑这种情况：浏览器下Cookie被禁止的标准Session实现方式是URL重写。
再谈Resful Service的问题，标准的面向RPC的Restful Service验证实现方案是Base64的HTTP基本认证。
【在 cn62 的大作中提到: 】
: 一个应用，大部分交互通过调用服务器端的rest api完成。
: 在session cookie工作正常的情况下，rest api应该可以方便的通过session验证用户的合法性。
: 但如果浏览器session cookie被禁止，rest api应该怎么验证用户了？
: ...................
--
修改:dhcn FROM 124.42.13.*
FROM 124.42.13.*
5楼|Logicshi|2013-09-22 17:27:16|只看此ID
token 正解
--
FROM 58.19.126.*