如果是摘要式身份验证,服务器会向客户端发送一个随机数以加密其凭据。当客户端提交加密字符串时,服务器如何知道它向哪个客户端发送了哪个随机数? 如果服务器必须记住随机数,API 真的是无状态的吗?
服务器知道,因为它不是基于客户端的,而是基于凭据的。如果服务器根据 TCP 连接记住 nonce,那确实违反了无状态设计。
