关于接口的 不能使用 session 哪么怎么保存常规数据？

好吧，楼上已经解答清楚问题了，我就来整点臭氧层子：楼主标题里用错字了，应该是“那么”。
“那么”：nà，指示代词；
“哪里”：nǎ，疑问代词。

不杠，不是处女座，也不是强迫症。

@lihongjie0209 这个就有问题了，据我所知，只要 IP 变了，服务器会立刻为会话分配一个新的 session_id 的，而你只把 session_id 放到 header 中，在代码里获取这个 session_id 这样是无法感知用户的上网环境变化的。所以原来人家在 cookie 中携带 session_id 是有 HTTP 大框架的支持。

@JasonTsang
概念要清楚，session id 只是用来给你识别的
客户端防爆破应该靠密码和本地加密（ which 现在又客户端设备自主提供）
网络传输层则由你实现，依靠 https 或者 其他不对称加密手段

@JasonTsang #22

首先服务器分配 session 这个是具体的实现, 有不同的策略可以定制.

其次 sessionId 什么时候发送, 怎么发送, 现在都脱离的浏览器的 cookie/session 这种默认全自动的方式, 都需要前端(客户端)写代码决定. 不需要服务器根据用户的 IP 做什么处理.


举个例子, 我们的应用服务器部署了 3 个节点, IP 分别为 A,B,C, 但是这三个节点都会去使用同一个微信的 accessToken 和微信服务器通信, 微信不会因为我们的 IP 变化就把请求拒绝.

归根究底都是要个 id 来区分 session 至于数据安全是其他层面的问题了

我觉得绝对安全是没法做到的，web 应用基本上只要获取发送头部数据及 cookie 基本就有可能被盗用。
而我觉得数据交互过程中进行过加密，那么就算你获取到了数据，也不清楚里面的内容是什么(不看源码的情况下)，所以一定程度保证了安全性。

接口无状态说白了，
就是把数据保存到客户端自己里面，
服务端不保存数据，
于是相对于传统的 session 减少了服务端查询数据数据库、加载数据负担，
每次客户端请求接口会带上用户的所有数据，
换句话说就是通过带宽减轻服务器压力，

简单来说，没有数据库等存储权限的服务器，只提供执行逻辑的服务就是无状态服务。

@zjsxwc #27 原文：“接口无状态说白了，就是把数据保存到客户端自己里面，服务端不保存数据，于是相对于传统的 session 减少了服务端查询数据数据库、加载数据负担，每次客户端请求接口会带上用户的所有数据，换句话说就是通过带宽减轻服务器压力，简单来说，没有数据库等存储权限的服务器，只提供执行逻辑的服务就是无状态服务。”


回复：可以通过 rsa 不对称加密来防止客户端发过来的数据被篡改。

楼主自己把自己绕晕了，其实还是有些概念混淆了。无状态跟有状态区别不是那么大的，只是把原来 cookie 里的东西放 token 里了。

@JasonTsang cooke 也能被抓，一样的。

不过如果开了 HTTPS，除了 URL，其它内容都是加密传输了，理论上是安全的。

传统的网站应用里，session_id 有两种传递方式：cookie 和 url 参数，一般都放 cookie 里
开发接口时，使用 session_id 的话同样有两种传递方式：header 和 url 参数，基本都放 header 里。