他们只是说不要使用会话/应用程序级数据存储吗?

不。他们不是在用一种无关紧要的方式说。

他们说不要定义“会话”。不登录。不注销。为请求提供凭据。每个请求都是独立的。

您仍然有数据存储。您仍然拥有身份验证和授权。您只是不需要浪费时间建立会话和维护会话状态。

关键在于，每个请求(a)都是完全独立的，(b)可以简单地外包给一个巨大的并行服务器群，而不需要任何实际工作。Apache或Squid可以盲目且成功地传递RESTful请求。

如果我有一个消息队列，而我的用户想要读取消息，但在读取消息时，又想在会话期间阻止某些发送者的消息通过，该怎么办?

如果用户需要一个过滤器，那么只需在每个请求上提供过滤器。

难道……不合理吗?服务器是否只发送未被用户阻止的消息(或消息ID) ?

是的。在RESTful URI请求中提供筛选器。

每次请求新的消息列表时，我真的必须发送整个消息发送者列表来阻止吗?

是的。这个“要阻止的消息发送者列表”可以有多大?一个简短的PK列表?

GET请求可以非常大。如果有必要，您可以尝试POST请求，尽管它听起来像一种查询。

最基本的解释是:

服务器上没有客户端会话状态。

无状态意味着服务器不在服务器端存储任何关于客户端会话的状态。

客户端会话存储在客户端上。服务器无状态意味着每个服务器可以在任何时间服务任何客户端，不存在会话关联或会话保持。相关的会话信息存储在客户机上，并根据需要传递给服务器。

这并不妨碍与web服务器通信的其他服务维护有关业务对象(如购物车)的状态，而不是有关客户端当前应用程序/会话状态的状态。

客户端的应用程序状态永远不应该存储在服务器上，而是从客户端传递到每个需要它的地方。

这就是REST中的ST(状态传输)的由来。您传递状态，而不是让服务器存储它。这是扩展到数百万并发用户的唯一方法。如果没有别的原因，只是因为数百万次会话就是数百万次会话。

会话管理的负载被分摊到所有客户机上，客户机存储它们的会话状态，服务器可以以无状态的方式为多个数量级或更多的客户机提供服务。

即使对于一个您认为只需要成千上万并发用户的服务，您仍然应该使您的服务无状态。几万还是几万，会有时间和空间成本。

无状态是HTTP协议和web一般设计的操作方式，是一个总体上更简单的实现，您有一个单一的代码路径，而不是一堆服务器端逻辑来维护一堆会话状态。

这里有一些非常基本的实现原则:

这些是原则而不是实现，你如何满足这些原则可能会有所不同。

总而言之，五个主要原则是:

给每件“东西”一个ID 把事物联系起来 使用标准方法 具有多个表示形式的资源 无状态通信

REST论文中没有任何关于身份验证或授权的内容。

因为验证RESTful请求与验证非RESTful请求并没有什么不同。身份验证与RESTful讨论无关。

解释如何为您的特定需求创建无状态应用程序，对于StackOverflow来说太宽泛了。

实现与REST相关的身份验证和授权甚至过于宽泛，一般在互联网上详细解释了各种实现方法。

寻求帮助/信息的评论将/应该被标记为 不再需要。

您必须在客户端管理客户端会话。这意味着您必须在每个请求中发送身份验证数据，并且您可能(但不一定)在服务器上有一个内存缓存，它将身份验证数据与用户信息(如身份、权限等)配对。

这种REST无状态约束非常重要。如果不应用此约束，您的服务器端应用程序将不能很好地扩展，因为维护每个客户机会话将是它的阿喀琉斯之踵。

他们只是说不要使用会话/应用程序级数据存储吗?

不。他们不是在用一种无关紧要的方式说。

他们说不要定义“会话”。不登录。不注销。为请求提供凭据。每个请求都是独立的。

您仍然有数据存储。您仍然拥有身份验证和授权。您只是不需要浪费时间建立会话和维护会话状态。

关键在于，每个请求(a)都是完全独立的，(b)可以简单地外包给一个巨大的并行服务器群，而不需要任何实际工作。Apache或Squid可以盲目且成功地传递RESTful请求。

如果我有一个消息队列，而我的用户想要读取消息，但在读取消息时，又想在会话期间阻止某些发送者的消息通过，该怎么办?

如果用户需要一个过滤器，那么只需在每个请求上提供过滤器。

难道……不合理吗?服务器是否只发送未被用户阻止的消息(或消息ID) ?

是的。在RESTful URI请求中提供筛选器。

每次请求新的消息列表时，我真的必须发送整个消息发送者列表来阻止吗?

是的。这个“要阻止的消息发送者列表”可以有多大?一个简短的PK列表?

GET请求可以非常大。如果有必要，您可以尝试POST请求，尽管它听起来像一种查询。

REST is stateless and doesn’t maintain any states between the requests. Client cookies / headers are set to maintain the user state like authentication. Say Client username/password are validated by third part authentication mechanism – 2nd level OTP gerneation etc. Once user get authenticated – headers /cookies comes to rest service end point exposed and we can assume user as auth since user is coming with valid headers/cookies. Now certain info of user like IP is either maintained in the cache and after that if request is coming from same Ip (mac address) for listed resources User is allowed. And cache is maintained for some particular time which get invalidated once time lapses. So either cache can be used or DB entries can be used to persist info b/w the requests.

无状态和有状态的主要区别在于每次都将数据传递回服务器。在无状态的情况下，客户端必须提供所有的信息，所以很多参数可能需要在每个请求中传递。在有状态的情况下，cliet只传递一次这些参数，它们由服务器维护，直到客户端再次修改。

在我看来，API应该是无状态的，这允许快速扩展。