有意思,不过看完了就是看完了...
还是写份技能树把

@Septembers

http://css-ig.net/scriptpng 这个么?暂时打不开.
不过看到其他资料了,学习了:)

@NemoAlex 也来瞅瞅这个:)

@mytharcher

关于SEO我俩应该没啥分期.

我觉得你可能忽略了客户端单独维护cookie的成本~

对于token的每次请求存哪里(cookie,header,每次查询时候待在参数里面),网上各种例子都有,比如将token放在每次查询到串里:
http://stackoverflow.com/questions/25327476/implementing-an-restful-api-authentication-using-tokens-yii
这个app端不需要任何的时间管理处理,只要在第一次登陆时候,服务器返回一个token数据,开发人员将其存在本地存储即可.
至于你后面说的,"没有 session 怎样验证 token 的有效期和合法性"这个建议你看看这个:
https://github.com/miguelgrinberg/REST-auth/blob/master/api.py
无状态是指的client端:)
token和session的区别异同,
建议看看这个:
https://auth0.com/blog/2014/01/27/ten-things-you-should-know-about-tokens-and-cookies/
至于是不是一个层面,这个得看所指的深度了,看清本质就好了,个人有个人的看法,无法统一.

谢谢一起扯皮了这么久,自己对这块的理解也有新的认识:)

@Septembers
库里自带啦:)

@NemoAlex
嗯嗯.其实这个还有个好处就是文件小(不确定video压缩起来会咋样),不过现在的带宽都还不错,这个影响都不算不太大了:)

@armoni 每次想去学习angularjs都头疼...localStorage最好不过:)

@mytharcher

其实使用angularjs,在SEO这块有种解决方案,就是在判断出是搜索引擎时候,专门吐出一些不带样式的网页,不过从pagerank算法来讲,这个显然是不太好,而且据说有一定几率会被搜索引擎识别为作弊而封掉.

token放在cookie不读取,你这块的意思是每次想后端api请求时候,现在浏览器端读取token然后作为参数传到后台么?如果是这个,那确实是无状态的了,哈哈~
不过有几个缺点:
1. 每次cookie都被请求带着,占用带宽,特别是有很多同域图片时候,每次请求都带着cookie就有点过分了,这个也是设计restful的一个原因(?优势?).
2. 后端做token时间管理是基本上必不可少的,因为还得考虑安卓/IOS/WP之类的app端.可以参照这个帖子:/t/148426 .因为在每个平台的app都维护一套时间管理显然成本更高.

当然啦,目前我要做的项目只有web端,token放哪里都可以了.目前尽量按照restful的标准来就是纯为练练手:)

@nkssai 看到标题,就想到GEB :)

@mytharcher 学习了,利用accept作区分确实是一种很好地思路.
不过我的起始困惑是:在html页面渲染上,由前端渲染还是后端渲染,两种情况下的授权机制该怎么处理才比较合适的问题.


token若是存在cookie里面,给我的感觉和session没啥区别了,都是本地拿着一个认证key.
觉得token存在localStorage似乎更好些,因为存在cookie里面就不叫无状态了...

restful设计思路目前来看一个好处就是不需要ios/android/wp等各平台自家的应用维护cookie.而且token的周期应该由服务器来维护,而不是浏览器.

@clino 其实session和cookie并无太大区别,但是用于restful就变成有状态认证了,和restful所谓的无状态是概念冲突.当然啦,正如@caixiexin 所说,这个就是是否遵守restful协议的问题...

@caixiexin 不能赞同更多.

我也是最近有些空闲,自己做个新项目,就想用restful练练手,学习下restful和angularjs.
不过每次看到angularjs.cn网站我就有些蛋疼,毕竟主要内容需要0.5-1秒后才出现...

@learnshare 一起学习进步:)

@learnshare 确实如你所说的,似乎再用后端来渲染html不大合适,之前老想着认证这块,所以就痛哭了..

前后端渲染我用后端jinja2+前端vuejs做过一个web离线订单的处理,因为考虑纯离线的web操作,只能用前端框架做数据绑定和渲染,不过最后前端性能出了问题...

@learnshare 又慢你半拍,token之前有看过,我再去找找安全性的保证相关的.

非常感谢:)

@learnshare 为什么总比你慢半拍!!!

大概了解了,确实再把html渲染交给后端,似乎就浪费了前端分离的优势了.知道该怎么做了,非常感谢:)

多加个问题,token每次由用户端发送,特别是某些GET请求时候,安全性有啥办法处理么?https?

@learnshare 谢谢.

麻烦请参考下第三条的回复, 如果再起个服务进行页面渲染的的话,那么权限认证该怎么处理好呢?因为html端显然是通过cookie存储比较方便,那么这个服务B,请求restful服务A的时候,用什么做认证呢?像我上面说的将token存在cookie里面是否靠谱?

@scys 谢谢.不过还是有点小问题想问下:

假设restful服务称为A,html页面我单独启一个服务(比如B)进行处理,那渲染呢?是
1. 我在B端就直接调用A服务进行渲染,然后再吐给用户
2. 还是直接将html文件扔给用户,然后在浏览器端通过js进行前端渲染?

这两个哪个比较好?

按我的理解,似乎用2比较方便,但是如此的话,登陆怎么办?因为restful没状态,我该怎么保存用户的认证呢?把认证后的token存在localStorage或者cookie中么?
求解惑:)

@niuer 嗯,已经切换了~

@Ansonyi 能直接登录他们官网么?我找了其他朋友测试了,也是有问题.
等等看官方反应把

@chenshaoju
@aveline
已经联系了才过来问问大家情况的...