网站架构方面采用nobackend这种方案 -php教程-PHP中文网

首页

后端开发

php教程

网站架构方面采用nobackend这种方案

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jul 25, 2016 am 08:42 AM

　　网站架构方面采用nobackend这种方案
　　现在的应用开发模式过度重视后端的搭建，而实际上我们早已为简化后端开发做了很多年的工作，因此兄弟连创始人李超针对现在更注重UX的环境，提出一个不同的解决方案——noBackend，优先PHP培训前端开发。
　　就是说 web,ios,android只是个展示层，持久化操作统一丢给api。
　　先不考虑模板渲染这一块，我们可能会把这块放到前端。
　　目前纠结就是 web的session 和 app的token 问题。
　　这套api不单单通过token来校验，而是当web请求是他是会有用户session的。
　　当含有用户session的时候就不用校验token。
　　这种做法有什么局限性或者缺点吗?
　　后端php..

　　回复内容：
　　当然可行，而且我还有很多成功案例，业内的案例应该也不少，尽管有些是忽悠人的，有些只是看起来是那么回事儿，实际却不是。
　　但是话说回来，这事儿还是看你们有没有资深架构师，要真的有很多钱的话，我不介意用.NET给你们证明这个架构的可行性的。(PHP无爱抱歉)
　　如果你真的纠结token和session这种问题，要么是因为你们没有能力搞定这个架构，要么是你没玩过心里没底，我不太知道是哪一种，总之是否可行的答案是肯定的。我理解你说的nobackend是指不想采取PHP、JSP之类技术的传统架构，那类架构在session里会放一堆用户业务的状态，并在服务器端写逻辑来更新页面或者操作后端服务(如，更新数据库)。
　　就我个人经验而言，你完全可以把页面更新和用户当前状态放在前端，后端API是一组无状态的服务，这其实是很常见的架构了。
　　比较麻烦的(从你的问题描述里也可以看出)是安全那块。
　　native的client，你可以考虑oauth implicit grant type那种，即token直接放客户端，因为native APP被认为比较安全。
　　web的话，token直接放客户端比较危险，但传统方法(包括oauth authorization code grant type)是要在session里放token的。
　　这个问题，其实也有办法解决。但你最好先问一下自己，真的要无session化吗?其实session一般而言是很难完全去掉的，就整个系统架构而言，你只不过是在你的编程视野内不用它而已。合理的使用，并无不可，不要搞原教旨主义。如果只有token放session里面，万一服务器崩溃，假设你应用处理得好，前端业务状态态能被持久化，那无非就是让用户重新登录然后回到刚才页面继续。比如，在线商城，用户只要把东西放购物车里，后台崩掉，也无非就是重登录，你的购物记录还在，可以继续操作。这只是粗略描述，具体细节要根据业务需求来定，但我的意思你应该能明白了吧。你可以读读这个Post: Lift, State, and Scaling，无关语言。可以想到的是，你们可能需要自己造很多轮子，因为很多事务在前端做的话没有成熟的工具，最后反倒拖慢了你们的创业www.itxdl.cn。简单来说，
　　1. 后端提供rest api，提供一个/verify供登录验证，然后后续操作都需要附带验证信息
　　2. 前端通过ember/angular做成webapp，使用ajax消费rest api，我在实际中就不用cookie，每次登录就是了，因为你已经是webapp了
　　3. 如果需要安全就上https，cookie这玩意我个人觉得能免则免直接使用js api，授权问题很难解决，secret不能下载到浏览器，只能使用隐式授权，但大多数服务都不支持。。。无后端方案?这个有过。记忆中有挺多的案例的。
　　无后端不是真的没有后端，API实现不也是后端之类的技术嘛。发展到现在应该已经基本没难点了。题主的问题，可能是没有认识到服务端token和web session的区别。其实还好，和接口服务器通信肯定是token，web端的session肯定是先验证了服务端访问权限由web端生成的。

　　我们来过一下流程，
　　用户登录为例，
　　1. 用户登录，向api服务器发送验证信息
　　2. 服务器验证OK，返回一个token表示验证通过
　　3. web端创建一个登录session记录下当前登录态获取的token
　　4. 登录完成，跳转到应用页面
　　在上面之后，用户要看看ta的优惠券信息
　　1. 拿着登录时web端session里保存的token 和用户名等信息，调用优惠券接口
　　2. 返回优惠券信息
　　服务器在这个过程中做了2件事
　　1. 验证token合法性(存在性，过期与否，来源等)
　　2. 合法，调用服务返回优惠券信息，反之，报错。
　　在这里，你可以看到session是web端表现层用的，token是接口服务器的session，分清楚层次，就明朗了。
　　注：在www.itxdl.cn网站上，罗列了一系列后端解决方案，能够帮助你开始应用noBackend模式开发。

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

使用数据库存储会话的优点是什么？Apr 24, 2025 am 12:16 AM

使用数据库存储会话的主要优势包括持久性、可扩展性和安全性。1.持久性：即使服务器重启，会话数据也能保持不变。2.可扩展性：适用于分布式系统，确保会话数据在多服务器间同步。3.安全性：数据库提供加密存储，保护敏感信息。

您如何在PHP中实现自定义会话处理？Apr 24, 2025 am 12:16 AM

在PHP中实现自定义会话处理可以通过实现SessionHandlerInterface接口来完成。具体步骤包括：1)创建实现SessionHandlerInterface的类，如CustomSessionHandler；2)重写接口中的方法（如open,close,read,write,destroy,gc）来定义会话数据的生命周期和存储方式；3)在PHP脚本中注册自定义会话处理器并启动会话。这样可以将数据存储在MySQL、Redis等介质中，提升性能、安全性和可扩展性。

什么是会话ID？Apr 24, 2025 am 12:13 AM

SessionID是网络应用程序中用来跟踪用户会话状态的机制。1.它是一个随机生成的字符串，用于在用户与服务器之间的多次交互中保持用户的身份信息。2.服务器生成并通过cookie或URL参数发送给客户端，帮助在用户的多次请求中识别和关联这些请求。3.生成通常使用随机算法保证唯一性和不可预测性。4.在实际开发中，可以使用内存数据库如Redis来存储session数据，提升性能和安全性。

您如何在无状态环境（例如API）中处理会议？Apr 24, 2025 am 12:12 AM

在无状态环境如API中管理会话可以通过使用JWT或cookies来实现。1.JWT适合无状态和可扩展性，但大数据时体积大。2.Cookies更传统且易实现，但需谨慎配置以确保安全性。

您如何防止与会议有关的跨站点脚本（XSS）攻击？Apr 23, 2025 am 12:16 AM

要保护应用免受与会话相关的XSS攻击，需采取以下措施：1.设置HttpOnly和Secure标志保护会话cookie。2.对所有用户输入进行输出编码。3.实施内容安全策略(CSP)限制脚本来源。通过这些策略，可以有效防护会话相关的XSS攻击，确保用户数据安全。

您如何优化PHP会话性能？Apr 23, 2025 am 12:13 AM

优化PHP会话性能的方法包括：1.延迟会话启动，2.使用数据库存储会话，3.压缩会话数据，4.管理会话生命周期，5.实现会话共享。这些策略能显着提升应用在高并发环境下的效率。

什么是session.gc_maxlifetime配置设置？Apr 23, 2025 am 12:10 AM

thesession.gc_maxlifetimesettinginphpdeterminesthelifespanofsessiondata，setInSeconds.1）它'sconfiguredinphp.iniorviaini_set（）.2）abalanceIsiseededeedeedeedeedeedeedto to to avoidperformance andununununununexpectedLogOgouts.3）

您如何在PHP中配置会话名？Apr 23, 2025 am 12:08 AM

在PHP中，可以使用session_name()函数配置会话名称。具体步骤如下：1.使用session_name()函数设置会话名称，例如session_name("my_session")。2.在设置会话名称后，调用session_start()启动会话。配置会话名称可以避免多应用间的会话数据冲突，并增强安全性，但需注意会话名称的唯一性、安全性、长度和设置时机。

See all articles