Pracuję nad interfejsem API REST, który będzie używany przez programistów piszących aplikacje mobilne. Użytkownicy będą mogli korzystać z usług stron trzecich (Google, Twitter itp.) W celu uwierzytelnienia się, jest to obsługiwane głównie przez OAuth (w zależności od usługi). Używamy dwuetapowej autoryzacji OAuth między aplikacją kliencką a serwerem API (gdzie klucz/klucz klienta jest aplikacją specyficzną dla aplikacji, programista otrzymuje ją z naszej witryny, gdy aplikacja jest tam zarejestrowana).Jak zaimplementować bezpaństwowy interfejs REST API
Mój problem polega na tym, jak postępować, aby śledzić uwierzytelnianie użytkownika w sposób bezpaństwowy. Nie mam danych logowania użytkowników, aby wysyłać w każdym żądaniu. Mogłem utworzyć unikalny identyfikator sesji, gdy użytkownik loguje się, a następnie wymaga tego w każdym żądaniu do interfejsu API REST. Czy są jakieś inne rozwiązania mojego problemu? Czy użycie unikalnego identyfikatora sesji identyfikującego użytkownika powoduje problemy z bezpaństwową perspektywą API REST?
Wciąż trawię ten dobry artykuł Johna Wilandera. Być może to może ci pomóc. http://appsandsecurity.blogspot.com/2011/04/rest-and-stateless-session-ids.html – RayLuo