相关疑难解决方法(0)

在RESTful API中使用会话是否真的违反了R​​ESTfulness？我看到很多意见朝着两个方向发展,但我不相信会话是无REST的.在我看来,我的观点是:

• RESTfulness不禁止身份验证(否则在RESTful服务中几乎没有用)
• 通过在请求中发送身份验证令牌(通常是标头)来完成身份验证
• 此身份验证令牌需要以某种方式获取并可能被撤销,在这种情况下需要续订
• 验证令牌需要由服务器验证(否则它不会是身份验证)

会话如何违反这一点？

• 客户端,会话使用cookie实现
• cookies只是一个额外的HTTP标头
• 可以随时获取和撤销会话cookie
• 如果需要,会话cookie可以有无限的生命周期
• 会话ID(身份验证令牌)在服务器端验证

因此,对于客户端,会话cookie与任何其他基于HTTP头的身份验证机制完全相同,除了它使用Cookie头而不是Authorization其他专有头.如果cookie值服务器端没有附加会话,为什么会产生影响呢？只要服务器表现为 RESTful ,服务器端实现就不需要关注客户端.因此,cookie本身不应该使API无REST,而会话只是客户端的cookie.

我的假设是错的吗？什么使会话cookie RESTless？