实际上，正如通用资源标识符所指示的那样，RESTfulness只应用于资源。因此，在REST中谈论诸如头文件、cookie等都是不合适的。REST可以在任何协议上工作，即使它通常是在HTTP上完成的。

主要的决定因素是:如果您发送一个REST调用(它是一个URI)，那么一旦调用成功地到达服务器，假定没有执行转换(PUT、POST、DELETE)，该URI是否返回相同的内容?这个测试将排除错误或正在返回的身份验证请求，因为在这种情况下，请求还没有到达服务器，这意味着servlet或应用程序将返回与给定URI对应的文档。

同样，在POST或PUT的情况下，是否可以发送给定的URI/有效负载，并且无论发送多少次消息，它都将始终更新相同的数据，以便后续的get将返回一致的结果?

REST是关于应用程序数据的，而不是关于传输数据所需的低级信息。

在下面这篇博文中，Roy Fielding对整个REST思想做了一个很好的总结:

http://groups.yahoo.com/neo/groups/rest-discuss/conversations/topics/5841

"A RESTful system progresses from one steady-state to the next, and each such steady-state is both a potential start-state and a potential end-state. I.e., a RESTful system is an unknown number of components obeying a simple set of rules such that they are always either at REST or transitioning from one RESTful state to another RESTful state. Each state can be completely understood by the representation(s) it contains and the set of transitions that it provides, with the transitions limited to a uniform set of actions to be understandable. The system may be a complex state diagram, but each user agent is only able to see one state at a time (the current steady-state) and thus each state is simple and can be analyzed independently. A user, OTOH, is able to create their own transitions at any time (e.g., enter a URL, select a bookmark, open an editor, etc.)."

至于身份验证的问题，无论它是通过cookie还是报头完成的，只要信息不是URI和POST有效负载的一部分，它就与REST完全没有关系。因此，关于无状态，我们只讨论应用程序数据。

例如，当用户在GUI屏幕上输入数据时，客户端会跟踪哪些字段已经输入，哪些字段没有输入，哪些必需的字段丢失等等。这都是CLIENT CONTEXT，服务器不应该发送或跟踪。发送到服务器的是需要在IDENTIFIED资源中(通过URI)修改的完整字段集，以便在该资源中发生从一个RESTful状态到另一个RESTful状态的转换。

因此，客户端会跟踪用户正在做什么，并且只向服务器发送逻辑上完整的状态转换。

我认为令牌必须包括所有需要的信息编码在它里面，这使得身份验证通过验证令牌和解码信息 https://www.oauth.com/oauth2-servers/access-tokens/self-encoded-access-tokens/

据我所知，当我们谈论会话时，有两种类型的状态

客户端和服务器交互状态 资源状态

这里的无状态约束指的是Rest中的第二种类型。使用cookie(或本地存储)并不违反Rest，因为它与第一个相关。

菲尔丁说:“从客户端到服务器的每个请求都必须包含理解请求所需的所有信息，并且不能利用服务器上存储的任何上下文。因此会话状态完全保存在客户端上。

这里的问题是，服务器上要完成的每个请求都需要来自客户端的所有必要数据。那么这就被认为是无状态的。再说一遍，我们这里说的不是饼干，我们说的是资源。

会话不是不安分的 你是说REST服务只用于http还是我弄错了?基于cookie的会话只能用于自己的(!)基于http的服务!(这可能是一个问题与cookie工作，例如从移动/控制台/桌面/等) 如果你为3d开发者提供RESTful服务，永远不要使用基于cookie的会话，而是使用令牌来避免安全问题。

实际上，正如通用资源标识符所指示的那样，RESTfulness只应用于资源。因此，在REST中谈论诸如头文件、cookie等都是不合适的。REST可以在任何协议上工作，即使它通常是在HTTP上完成的。

主要的决定因素是:如果您发送一个REST调用(它是一个URI)，那么一旦调用成功地到达服务器，假定没有执行转换(PUT、POST、DELETE)，该URI是否返回相同的内容?这个测试将排除错误或正在返回的身份验证请求，因为在这种情况下，请求还没有到达服务器，这意味着servlet或应用程序将返回与给定URI对应的文档。

同样，在POST或PUT的情况下，是否可以发送给定的URI/有效负载，并且无论发送多少次消息，它都将始终更新相同的数据，以便后续的get将返回一致的结果?

REST是关于应用程序数据的，而不是关于传输数据所需的低级信息。

在下面这篇博文中，Roy Fielding对整个REST思想做了一个很好的总结:

http://groups.yahoo.com/neo/groups/rest-discuss/conversations/topics/5841

"A RESTful system progresses from one steady-state to the next, and each such steady-state is both a potential start-state and a potential end-state. I.e., a RESTful system is an unknown number of components obeying a simple set of rules such that they are always either at REST or transitioning from one RESTful state to another RESTful state. Each state can be completely understood by the representation(s) it contains and the set of transitions that it provides, with the transitions limited to a uniform set of actions to be understandable. The system may be a complex state diagram, but each user agent is only able to see one state at a time (the current steady-state) and thus each state is simple and can be analyzed independently. A user, OTOH, is able to create their own transitions at any time (e.g., enter a URL, select a bookmark, open an editor, etc.)."

至于身份验证的问题，无论它是通过cookie还是报头完成的，只要信息不是URI和POST有效负载的一部分，它就与REST完全没有关系。因此，关于无状态，我们只讨论应用程序数据。

例如，当用户在GUI屏幕上输入数据时，客户端会跟踪哪些字段已经输入，哪些字段没有输入，哪些必需的字段丢失等等。这都是CLIENT CONTEXT，服务器不应该发送或跟踪。发送到服务器的是需要在IDENTIFIED资源中(通过URI)修改的完整字段集，以便在该资源中发生从一个RESTful状态到另一个RESTful状态的转换。

因此，客户端会跟踪用户正在做什么，并且只向服务器发送逻辑上完整的状态转换。

首先，REST不是宗教，不应该被当作宗教来对待。虽然REST式服务有很多优点，但您应该只在应用程序有意义时才遵循REST的原则。

That said, authentication and client side state do not violate REST principles. While REST requires that state transitions be stateless, this is referring to the server itself. At the heart, all of REST is about documents. The idea behind statelessness is that the SERVER is stateless, not the clients. Any client issuing an identical request (same headers, cookies, URI, etc) should be taken to the same place in the application. If the website stored the current location of the user and managed navigation by updating this server side navigation variable, then REST would be violated. Another client with identical request information would be taken to a different location depending on the server-side state.

Google's web services are a fantastic example of a RESTful system. They require an authentication header with the user's authentication key to be passed upon every request. This does violate REST principles slightly, because the server is tracking the state of the authentication key. The state of this key must be maintained and it has some sort of expiration date/time after which it no longer grants access. However, as I mentioned at the top of my post, sacrifices must be made to allow an application to actually work. That said, authentication tokens must be stored in a way that allows all possible clients to continue granting access during their valid times. If one server is managing the state of the authentication key to the point that another load balanced server cannot take over fulfilling requests based on that key, you have started to really violate the principles of REST. Google's services ensure that, at any time, you can take an authentication token you were using on your phone against load balance server A and hit load balance server B from your desktop and still have access to the system and be directed to the same resources if the requests were identical.

归根结底，您需要确保您的身份验证令牌是针对某种类型的备份存储(数据库、缓存等)进行验证的，以确保您尽可能多地保留REST属性。

我希望你能理解。如果你还没有，你也应该看看维基百科文章中关于具象状态转移的约束部分。关于REST的原则实际上在争论什么以及为什么争论，它特别具有启发性。