会话是否真的违反了RESTful架构？

首先，REST不是一种宗教，也不应该被视为这样。虽然使用RESTful服务有优势，但你只需要按照对你的应用有意义的程度遵循REST原则。
话虽如此，认证和客户端状态并不违反REST原则。虽然REST要求状态转换是无状态的，但这是指服务器本身。在本质上，REST的所有内容都是关于文档的。无状态的想法是，服务器是无状态的，而不是客户端。任何发出相同请求的客户端（相同的头信息、cookie、URI等）都应该被带到应用程序中的同一个位置。如果网站存储了用户的当前位置，并通过更新服务器端导航变量来管理导航，则会违反REST原则。另一个具有相同请求信息的客户端将根据服务器端状态被带到不同的位置。
Google的网络服务是RESTful系统的绝佳例子。每个请求都需要通过用户的身份验证密钥传递身份验证标头。这确实略微违反了REST原则，因为服务器正在跟踪身份验证密钥的状态。必须维护此密钥的状态，并且它具有某种过期日期/时间，在此之后不再授予访问权限。但是，正如我在帖子开头提到的那样，必须做出牺牲才能使应用程序实际工作。也就是说，必须以允许所有可能的客户端在其有效时间内继续授予访问权限的方式存储身份验证令牌。如果一个服务器管理身份验证密钥的状态，以至于另一个负载平衡服务器无法接管基于该密钥的请求，则您已经开始真正违反REST原则。 Google的服务确保您可以随时将您在手机上使用的身份验证令牌针对负载平衡服务器A进行请求，然后从桌面上击中负载平衡服务器B并仍然可以访问系统，并且如果请求相同，则被定向到相同的资源。
归根结底，您需要确保针对某些支持存储（数据库，缓存等）验证身份验证令牌，以确保尽可能保留REST属性。
我希望所有这些都有意义。如果您还没有，请查看wikipedia article on Representational State Transfer的Constraints section，这对于REST实际上在争论什么以及为什么非常有启发性。

首先，让我们定义一些术语：

• RESTful:

  根据wikipedia的描述，符合REST约束条件的应用程序可以被称为“RESTful”。如果服务违反了任何所需的约束条件，则无法被视为RESTful。

• 无状态约束：

  接下来，我们向客户端-服务器交互添加了一个约束：通信必须具有无状态性质，就像第3.4.3节（图5-3）中的客户端-无状态服务器（CSS）样式一样，因此客户端到服务器的每个请求都必须包含理解请求所需的所有信息，并且不能利用服务器上的任何存储上下文。因此，会话状态完全保留在客户端上。

  根据Fielding dissertation的描述。

服务器端的会话违反了REST的无状态约束，因此也违反了RESTfulness。
对于客户端而言，会话cookie与任何其他基于HTTP头的身份验证机制完全相同，只是它使用Cookie头而不是Authorization或其他专有头。
通过会话cookie，在服务器上存储客户端状态，因此您的请求具有上下文。让我们尝试向系统添加负载均衡器和另一个服务实例。在这种情况下，您必须在服务实例之间共享会话。维护和扩展这样的系统很困难，因此它的可扩展性很差...
在我看来，cookie没有问题。 cookie技术是一种客户端存储机制，其中存储的数据会自动附加到每个请求的cookie头中。我不知道哪个REST约束与这种技术有问题。因此，技术本身没有问题，问题在于它的使用。Fielding写了一个子章节，解释了他为什么认为HTTP cookie不好。
根据我的观点： - 认证并不违反RESTful（否则RESTful服务的用处就很小了） - 通过在请求中发送身份验证令牌来完成认证，通常是头部 - 需要以某种方式获取此身份验证令牌，并且可能会被撤销，在这种情况下需要更新 - 服务器需要验证身份验证令牌（否则它就不是认证）
你的观点非常有道理。唯一的问题在于在服务器上创建身份验证令牌的概念。您不需要那部分。您需要的是在客户端存储用户名和密码，并将其与每个请求一起发送。您所需的不仅是HTTP基本身份验证，还需要加密连接。

• 图1. - 受信任客户端的无状态身份验证

为了使每个请求都要进行身份验证，您可能需要在服务器端使用内存中的身份验证缓存来加快速度。

现在，这对于您编写的受信任客户端非常有效，但第三方客户端怎么办？它们无法获得用户的用户名、密码和所有权限。因此，您必须单独存储特定用户的第三方客户端可以拥有的权限。这样，客户端开发人员就可以注册其第三方客户端，并获取唯一的API密钥，而用户则可以允许第三方客户端访问其某些权限的部分。例如读取姓名和电子邮件地址，或列出他们的朋友等等... 在允许第三方客户端之后，服务器将生成一个访问令牌。这些访问令牌可以被第三方客户端用于访问用户授予的权限，如下所示：

• 图2 - 第三方客户端的无状态身份验证

因此，第三方客户端可以从受信任的客户端（或直接从用户）获取访问令牌。在此之后，它可以使用 API 密钥和访问令牌发送有效请求。这是最基本的第三方认证机制。您可以在每个第三方认证系统的文档中阅读更多有关实现细节的信息，例如 OAuth。当然，这可能会更加复杂和安全，例如您可以在服务器端签署每个单独请求的详细信息并随请求一起发送签名等等...... 实际解决方案取决于您应用程序的需求。

Cookie并不是用于身份验证的。为什么要重新发明轮子呢？HTTP已经有了设计良好的身份验证机制。如果我们使用cookie，那么我们就只能将HTTP作为传输协议来使用，因此我们需要创建自己的信令系统，例如告诉用户他们提供了错误的身份验证信息（使用HTTP 401可能是不正确的，因为我们可能不会向客户端提供Www-Authenticate，因为HTTP规范要求 :)）。值得注意的是，Set-Cookie只是给客户端的建议。它的内容可能会被保存，也可能不会被保存（例如，如果禁用cookie），而Authorization头会在每个请求中自动发送。

另一个问题是，想要获取授权cookie，你可能需要在某个地方提供你的凭据吧？如果是这样的话，那不就不符合RESTful了吗？下面是一个简单的例子：

• 您尝试无cookie访问GET /a
• 您以某种方式得到了一个授权请求
• 您进行授权，例如POST /auth
• 您获得了一个Set-Cookie
• 您再次尝试带cookie的访问GET /a。但在这种情况下，GET /a是否具有幂等性呢？

总之，我认为如果我们访问某个资源并且需要进行身份验证，那么我们必须在该资源上进行身份验证，而不是在其他任何地方。

实际上，RESTfulness仅适用于资源，如通用资源标识符所示。因此，谈论关于REST的头文件、cookie等内容并不合适。REST可以在任何协议上运行，尽管它通常是通过HTTP完成的。
主要的判断因素是：如果您发送一个REST调用，即URI，则一旦调用成功到达服务器，假设没有执行转换（PUT、POST、DELETE），那么该URI是否返回相同的内容？此测试将排除错误或身份验证请求的返回，因为在这种情况下，请求尚未到达服务器，这意味着将返回与给定URI对应的文档的servlet或应用程序。
同样，在POST或PUT的情况下，您可以发送给定的URI/payload，而无论您发送多少次消息，它都将始终更新相同的数据，以便随后的GET将返回一致的结果吗？
REST关注的是应用程序数据，而不是传输该数据所需的低级信息。
在以下博客文章中，Roy Fielding对整个REST思想进行了很好的总结：

http://groups.yahoo.com/neo/groups/rest-discuss/conversations/topics/5841

REST架构系统从一个稳定状态到下一个稳定状态，每个稳定状态既是潜在的起始状态又是潜在的终止状态。也就是说，RESTful系统由未知数量的组件遵循一组简单的规则，它们始终处于REST或从一个RESTful状态转换到另一个RESTful状态。每个状态可以通过包含的表示和提供的过渡集合来完全理解，过渡被限制为可理解的统一动作集合。该系统可能是一个复杂的状态图，但每个用户代理只能看到一个状态（当前的稳态），因此每个状态都是简单的并且可以独立分析。然而，用户能够随时创建自己的过渡（例如输入URL、选择书签、打开编辑器等）。

---

关于身份验证的问题，无论是通过cookie还是header完成的，只要信息不是URI和POST负载的一部分，它与REST没有任何关系。所以，关于无状态，我们只谈论应用程序数据。
例如，当用户输入数据到GUI屏幕时，客户端会跟踪哪些字段已经输入，哪些没有，缺少任何必填字段等。这都是客户端上下文，并且不应该被发送或由服务器跟踪。发送到服务器的是需要在已识别资源（通过URI）中修改的完整字段集，以便在该资源中从一个RESTful状态转换到另一个状态。
因此，客户端跟踪用户正在做什么，并仅向服务器发送逻辑上完整的状态转换。

据我所知，当我们谈论会话时，有两种类型的状态：

• 客户端和服务器交互状态
• 资源状态

在Rest中，无状态约束指的是第二种类型。使用cookie（或本地存储）不违反Rest，因为它与第一种类型相关。
Fielding说：“每个从客户端到服务器的请求都必须包含理解请求所需的所有信息，并且不能利用服务器上存储的任何上下文。因此，会话状态完全保留在客户端上。”
重要的是，要在服务器上执行的每个请求都需要来自客户端的所有必要数据。然后这被视为无状态的。再次强调，这里不是在讨论cookie，而是在讨论资源。

HTTP事务，基本访问认证并不适用于RBAC，因为基本访问认证每次使用加密的用户名:密码来识别，而在RBAC中需要的是用户想要为特定调用使用的角色。RBAC不验证用户名的权限，而是验证角色的权限。
您可以尝试连接如下：usernameRole:password，但这是一种不好的做法，而且效率也很低，因为当用户有更多角色时，身份验证引擎需要测试所有连接中的角色，并且每次都要再次调用。这将破坏RBAC最大的技术优势之一，即非常快速的授权测试。
因此，基本访问认证无法解决这个问题。
为了解决这个问题，必须进行会话维护，而根据一些答案，这似乎与REST相矛盾。
这就是我喜欢的答案关于REST不应该被视为宗教的原因。在复杂的业务案例中，例如医疗保健，RBAC是绝对常见和必要的。如果所有REST工具设计者都将REST视为宗教，那么他们将不被允许使用REST，这将是遗憾的。
对我来说，维护HTTP会话的方法并不多。可以使用带有sessionId的cookie或带有sessionId的标头。

如果有其他想法，我很乐意听取。

我认为令牌必须包含所有所需的信息编码在内，这样通过验证令牌并解码信息进行身份验证。

https://www.oauth.com/oauth2-servers/access-tokens/self-encoded-access-tokens/

不，使用会话并不一定违反RESTful规范。如果您遵循REST原则和约束条件，那么使用会话来维护状态只是多余的。毕竟，RESTful要求服务器不维护状态。

1. 会话不是无状态的
2. 你的意思是REST服务只适用于http吗？还是我理解错了？基于Cookie的会话只能用于自己的(!)基于http的服务！（从移动/控制台/桌面等设备中使用Cookie可能会有问题。）
3. 如果您为第三方开发人员提供RESTful服务，请勿使用基于Cookie的会话，而应使用令牌来避免安全问题。