Restfull session token OAuth
http://www.btsmth.com/show_topic.php?en_name=Java&gid=342483
[轉] 与其说 REST 是基于 HTTP 协议的,不如反过来说 HTTP 协议本身就是 REST 风格的。
这样就好理解了,WS/SOAP/UUDI/WSDL 是在 HTTP 之上的一层封装,就好比 HTTP 是在 TCP 之上的一层封装。
REST 则不同,它不是往 HTTP 上再套一个信封,而是利用 HTTP 已有的术语来定义自 己的理念。
另外一个关于 OAuth 的问题。OAuth 的应用场景只是open和分布式的环境。
首先,它是open的。 比如说我的一个 BBS 论坛,用户张三要在论坛注册用户名和密码。张三就说了,我在 腾讯QQ、新浪微博都有帐号和密码,我用那边的帐号和密码行不行……
然后,它是分布式的。 比如说我的一个云储存系统,分成授权服务器和资源服务器。 授权服务器上保存了用户名和密码,运行Linux和PHP 5.4,主机放在厦门。 资源服务器上保存了用户存储的文件(照片、日记、Word/PDF文档等),运行Windows 和.NET 4.0,主机放在美国。 资源服务器需要提供一套API。 对一张照片(一个资源)来说, 用户要上传这张照片,就是用HTTP的POST方法请求一个url; 用户要修改这张照片,就是用HTTP的PUT方法请求一个url; 用户要读取这张照片,就是用HTTP的GET方法请求一个url; 用户要删除这张照片,就是用HTTP的DELETE方法请求一个url. 当然,资源服务器要先向授权服务器问一下这个用户是否有权限。
http://stackoverflow.com/questions/6068113/do-sessions-really-violate-restfulness
http://resistor.io/blog/2013/08/07/mimimal-api-authentication-on-rails/
http://coderberry.me/blog/2013/07/08/authentication-with-emberjs-part-1/