Я разрабатываю систему, которая сильно зависит от веб-службы, разработанной в соответствии с принципами REST. Соединение осуществляется через HTTPS, и моя проблема заключается в том, чтобы найти хороший способ идентификации клиентов. Есть несколько пользователей из разных компаний с разными уровнями доступа.
Бэкэнд/промежуточное ПО написано на PHP, и до сих пор я использовал $_SESSION для идентификации пользователей.
Прочитав больше о службах REST, я узнал, что службы REST должны быть без сохранения состояния, и каждый вызов должен предоставлять всю информацию, необходимую для обработки этого вызова. Я интерпретировал это в том смысле, что сервер не должен поддерживать никаких состояний, связанных с конкретными клиентами.
Вопросы:
Означает ли это, что использование $_SESSION[some_identifier] для сохранения состояния между вызовами не соответствует стилю REST?
Теперь я рассматриваю возможность использования логики «недолговечный токен». Этот токен обменивается с сервером при каждом запросе, и сервер предоставляет новый токен в ответ на каждый запрос. Является ли этот подход более RESTful?