使用REST WebService和会话管理的最佳方式是什么？

Question

我想开发一个java应用程序与REST web服务，因为它将有浏览器客户端和移动客户端。我关心的是会话管理，有没有人能给我推荐最好的会话管理方法呢？场景:一名员工将登录，然后他将调用其他服务，如工资详细信息，工作时间详细信息，永久地址等。在这里，所有这些详细信息将暴露为个人REST web服务。在员工登录后，任何进一步的请求，如请求查看永久地址，都将是REST服务调用。请为我提供最佳和推荐的解决方案。

Answer 1

在您希望支持移动和web应用程序场景中，基于令牌的身份验证和会话处理可能是一个很好的方法。

您可以使用现有的基于令牌的第三方应用程序接口(OAuth2)，也可以创建自己的基于令牌的会话管理系统。

建议的解决方案:

1. 每当你的应用程序get第一次命中时，创建并保存随机令牌(比如64位随机生成的字符串)。
2. 移动和Web应用程序将在其内存中保存此令牌，并在每次进行web服务调用时在标头中发送此令牌。
3. 您将需要一个web服务，该服务将接受您的所有请求，并仅当令牌有效时才将请求重定向到您的应用程序。如果令牌无效，它将拒绝对应用程序服务访问。(Gateway7的工作原理与此相同)
4. 您可以为每个key服务url传递一个密钥。假设app.xyz是我的标识符。它指向我的应用程序'app‘的xyz url。所以你的网址将被维护在服务器和客户端将只有一个标识符和一个网址你的令牌验证器应用程序说‘令牌处理器’。
5. 所以在这个‘令牌处理器’应用程序中，你可以设置你的会话时间。这将是您的令牌有效的时间。因此，如果您在比方说15分钟内没有从该特定用户获得任何匹配，那么您将在下一个请求中将其标记为无效令牌。

如果你需要任何额外的帮助，请让我知道我们可以进行讨论。