基于浏览器的应用程序身份验证与REST服务

Question

我构建了一个RESTful服务，为Android客户端和浏览器客户端提供XML + JSON服务。目前，我的REST服务使用基于cookie的身份验证。由于浏览器客户端页是从为REST服务提供服务的同一台web服务器上提供的，所以所有内容都在同一原产地策略中协同工作。

我想将我的浏览器应用程序分开，并将它的页面从与其他服务不同的web服务器中服务。我可以使用跨源资源共享继续从浏览器到REST服务进行XmlHttpRequest调用，但我无法确定身份验证。

1. I向身份验证服务
2. 发送XmlHttpRequest REST服务器在响应
3. 中设置cookie当浏览器收到成功请求时，它将应用程序移动到下一页
4. 下一页不维护日志上设置的cookie，所以对REST服务的所有XmlHttpRequest调用都失败了401

解决这个问题的最好方法是什么？如果cookie身份验证是否定的，那么在这种情况下我应该使用什么？

Answer 1

我的建议是在两个服务器前面运行一个Apache或类似的web服务器，并使用代理模块。这样，所有的调用都是对同一个主机的，所以cookie保持不变。这在许多项目中都很有效，包括基于cookie的身份验证。