Что такое stateless в http api?

Question

[SONce]

Разрабатываю апи сервис(для личных нужд), возник вопрос на который я не могу найти ответ.

Что такое НА САМОМ деле стейтлесс апи. По определению понятно что для формирования ответа в запросе должны быть все данные. Но ХТТП само по себе стейтлес...

На реальном примере:
Клиент передал логин/пароль/фото_кошки на /api/auth и получил в ответ некий токен с которым он может выполнять запросы. Пока все отлично и красиво.

Но вот клиент прислал запрос, в нем есть токен.
Как этот токен проверять? Хранить гдето в кеше token = user_id? Разве это не стейт? А если нет то чем это отличается о тойже сессии? А от куки?

Answer 1

[Dmitry Roo]

HTTP - это протокол передачи данных. API, Stateless, etc - это не его уровень.
Вы, видимо, имеете ввиду REST.
В википедии ровно по вашему вопросу есть описание: https://ru.wikipedia.org/wiki/REST#2._%D0%9E%D1%82...

Answer 2

[Rsa97]

Как этот токен проверять? Хранить гдето в кеше token = user_id?

Токен можно сделать самодостаточным. Например JWT содержит заголовок (тип токена, алгоритм подписи), полезную нагрузку (id пользователя, его права, служебную информацию) и подпись.
При выдаче токена сервер рассчитывает подпись для первых двух частей, шифрует её своим ключом и прикрепляет её к токену.
При получении токена сервер снова рассчитывает подпись для первых двух частей и сверяет её с расшифрованной подписью из токена. Если подписи совпадают, то можно доверять данным из полезной нагрузки.
При использовании асимметричного шифрования токен может выдаваться на одном сервере с шифрованием закрытым ключом, а проверяться на другом сервере с использованием парного открытого ключа.

Comments

[SONce]

ну про жвт понятно, хотя тоже к нему есть несколько вопросов.
А если у нас не жвт? Если например oauth аццес_токен в нем ведь при каждом запросе проверять придеться

[Rsa97]

SONce, OAuth нужен для другого. Он позволяет пользователю передать вашему серверу права на выполнение некоторых действий на другом сервере от лица данного пользователя не передавая при этом логин и пароль.
АФАИК, для аутентификация пользователя при работе непосредственно с вашим сервером OAuth не подходит. Хотя некоторые сервисы и позволяют запросить данные о пользователе после получения токена OAuth, к стандарту это не относится и реализация зависит от конкретного сервиса.

Answer 3

[Сергей delphinpro]

Stateless нужно понимать ровно так, как оно звучит — без состояния.
Т.е. сервер вас не помнит, при каждом новом запросе вы должны ему сообщать кто обращается за данными. В обычном случае — это JWT токен. Он содержит информацию о текущем пользователе. Как уже сказал Rsa97 — токен самодостаточен. Как минимум на википедии, как максимум, в куче статей в интернете есть информация, как создается и как валидируется этот токен. Если вы используете какой-либо фреймворк, то у вас уже есть готовые абстракции для обработки токенов или полностью для аутентификации на основе токенов.

Comments

[SONce]

С JWT я понял, однако я очень плотно работаю с 10ком разных апи и нигде ЖВТ не встречал, как правило везде обычные токены. Как они это валидируют?
По поводу запросов - http и так сам по себе стейтлесс, что значит "сервер помнит", что такое именно стейт в данном контексте?

[Сергей delphinpro]

SONce, Это значит что никакая информация о состоянии клиента на сервере не хранится.