RESTful，在不用session的情况下做用户认证

最近在研究restful,在restful协议中，强调不使用session，但可以少量使用cookie。以保持restful的无状态性。

但是在实际使用中，有一个最大的问题，就是当应用需要用户登陆认证时，应该怎么处理。

在这里我的处理方法主要是把用户登陆后，把用户名+密码+ip地址+最后更新时间通过一个可逆加密后做为token，写入cookie,然后在需要认证的应用时，由php等程序读取cookie中的token，并把用户名、密码、ip地址及最后更新时间解密出来。

先判断时间是否过期，过期的话，清除cookie，要求重新登陆！

 

再判断cookie中的ip是否与当前客户端ip一致，如果不等，要求重新登陆。

时间和ip都通过的话，则把用户名、密码做判断，判断是否正确，正确的话，把用户基本信息存在一全局变量中！

做后续应用，同时把生成新的token(主要是时间)写入cookie。

这样的话就解决了三个问题

第一、时效，cookie有一个生存时间、同时在token中也存储时间，方便让令牌失效;

第二、解决了cookie欺骗问题，因为token记录了客户端的ip地址;

第三、解决了安全问题，采用可逆加密，就算得到token在没有解密key的情况下也无法破解得用户名及密码。

还有一个情况，同时把token保存到服务器，这样更容易控制！但是把东西记录到服务器的话，其实它不就是session了么，伪session而以，所以还是不建议这么用！

[转自:http://www.phpabc.cn/restfulzai-bu-yong-sessionde-qing-kuang-xia-zuo-yong-hu-ren-zheng.html]