OAuth的的标记和REST会议

Question

在其它分钟我读的OAuth的制品。它特别描述的令牌被一系列请求的过程中客户端和服务提供者之间交换的。

文章还提及的OAuth获得显著普及的RESTful API，作为授权层。正如我理解，REST应保持完全无状态的。

现在的问题：难道这不是重复令牌交换，鱼雷REST的“无状态”的原则？ IMHO令牌可以被看作是一种会话ID，他们不能？

Answer 1

OAuth符是明确的会话标识符，相互作用不是在作为请求必须以特定的顺序来执行OAuth令牌协商协议请求之间无状态的，并且它们要求在服务器上每个客户端的存储，因为你需要跟踪事情它们被发出的相同。所以，是不OAuth的违反RESTful架构的严格的原则。

不幸的是真正的世界 ^TM 与我们需要做的事情一样允许应用程序对个人的名义进行认证，而无需请求他们的密码，它的OAuth确实相当不错抗衡。这将是不可能实现一个类似的安全认证方案没有这种状况。事实上，通过OAuth的（1.0A）所需的改变之一是添加更多状态到令牌协商协议，以减轻安全风险。

所以，它鱼雷REST的无状态的原理是什么？是。请问是怎么回事？除非你生活在象牙塔： - ）

Answer 2

验证是在web交互处理时必须以某种方式跟踪的状态。最后，如果您的应用程序是宁静与否，服务器必须能够跟踪每个用户的“认证状态”，不幸的是，需要某种之上的HTTP的基本无状态特性以及任何额外的运输/技术（如REST）规避它。

因此，开发任何类型的身份验证的应用程序的，国家的原则必须鞋有角的地方，如果这恰巧是在REST的顶部OAuth的，那是注定的！