19-04-2017, 12:38 PM
Les cookies chiffrés s'appellent — dans Rails — signed cookies.
J'ai horreur de me reconnecter donc dans toutes mes applis j'utilise ce système de cookie d'authentification permanente : si je veux déconnecter un user, je change son authentication token. Et généralement je ne conserve presque rien d'autre dans ce cookie chiffré.
Quand je parle de stateless, c'est stateless côté serveur Web : si j'ai un load balancer, les requêtes peuvent bien arriver sur un serveur différent à chaque fois, ça marche.
Depuis quelques temps je fonctionne surtout en API : mon serveur Web ne gère même pas les cookies, du coup je suis complètement stateless au niveau Web : le client envoie avec chaque requête un token (JWT : JSON Web Token) dans son header Authorization. Du coup, même le CORS ne pose pas de problème. Le navigateur peut alors stocker son token en cookie (le serveur l'ignore) ou en localstorage, ou n'importe comment.
J'ai horreur de me reconnecter donc dans toutes mes applis j'utilise ce système de cookie d'authentification permanente : si je veux déconnecter un user, je change son authentication token. Et généralement je ne conserve presque rien d'autre dans ce cookie chiffré.
Quand je parle de stateless, c'est stateless côté serveur Web : si j'ai un load balancer, les requêtes peuvent bien arriver sur un serveur différent à chaque fois, ça marche.
Depuis quelques temps je fonctionne surtout en API : mon serveur Web ne gère même pas les cookies, du coup je suis complètement stateless au niveau Web : le client envoie avec chaque requête un token (JWT : JSON Web Token) dans son header Authorization. Du coup, même le CORS ne pose pas de problème. Le navigateur peut alors stocker son token en cookie (le serveur l'ignore) ou en localstorage, ou n'importe comment.