Я пытаюсь понять, как работает механизм управления сеансом в веб-приложении без состояния. В настоящее время я использую Play Framework, но я думаю, что этот механизм должен быть одинаковым для всех безгосударственного фреймворковКак сервер распознает cookie сеанса клиента, не сохраняя его на сервере
это из документации рамки игры: (link)
Важно понимать, что сессия и данные, флэш не хранятся на сервере, но добавляются к каждому последующему запросу HTTP, используя механизм печенья
и
Конечно, значения cookie подписываются секретным ключом, поэтому клиент не может изменять данные cookie (или он будет признан недействительным).
Теперь мой вопрос: если сервер ничего не сохраняет о идентификаторе сеанса, как он аутентифицирует сеанс, исходящий от клиента ?!
Я много искал, но не смог узнать, как работает управление сеансом на стороне сервера.
Подтверждение - секретный ключ действительно определяется 'application.secret' в' application.conf'. –