如何进行无状态（无会话）和无cookie身份验证？

啊，我喜欢这些问题--维持一个没有一个会话的会话。

在我的应用程序评估期间，我看到了多种方法来实现这一点。其中一种流行的方式就是您提到的打网球的方式--在每个请求中发送用户名和密码来验证用户。在我看来，这是不安全的，特别是如果应用程序不是单页的。它也是不可扩展的，特别是如果你想在以后的应用程序中添加认证之外的授权（虽然我想你也可以基于登录来构建一些东西）

一种流行的，虽然不是完全无状态的机制（假设您执行了JavaScript）是将会话cookie嵌入到JavaScript中。我的安全人员对此大喊大叫，但它实际上是可以工作的-每个请求都有x-authentication-token头或类似的东西，您将其映射到后端的数据库、内存中的文件存储等，以验证用户。此内标识的超时时间可以是您指定的任何时间，如果超时，用户必须重新登录。它具有相当高的可伸缩性--如果您将它存储在数据库中，它只执行一条SQL语句，并且有了正确的索引，即使同时有多个用户，它也只需要很少的时间就可以执行。不过，这里的负载测试肯定会有所帮助。如果我正确地理解了问题，这将是您的加密令牌机制-尽管，我强烈建议您使用一个加密随机令牌，比方说32个字符，而不是使用用户名+密码+其他任何东西的组合-这样，它是不可预测的，但您仍然可以将它与用户ID或其他东西相关联。

无论你最终使用哪一种，都要确保它安全地送到你手中。HTTPS在整个线路上保护您，但是如果您通过URL泄露会话令牌（或者更糟的是，通过URL泄露凭据），它就不保护您了。我建议使用一个头，或者如果不可行的话，每次都通过POST请求发送令牌（这意味着用户浏览器上有一个隐藏的表单字段）使用POST请求的后一种方法应该使用CSRF防御，以防万一，尽管我怀疑使用令牌本身可能是某种CSRF防御。

最后，但并非最不重要的是，确保您在后端有一些机制来清除过期的令牌。这在过去一直是许多应用程序的祸根--快速增长的身份验证令牌数据库似乎永远不会消失。如果您需要支持多个用户登录，请确保您或者限制数量，或者对每个令牌有更短的时间限制。正如我之前所说的，负载测试可能是对此的答案。

我还能想到一些其他的安全问题，但它们太宽泛了，在这个阶段无法解决--如果你把所有的使用（和滥用）案例都记在心里，你大概应该能够对这个系统做一个相当好的实现。