免責(zé)聲明：我是REST思想流派的新手，我正努力將其束縛在其中。因此，我正在閱讀此頁面Common REST Mistakes，我發(fā)現(xiàn)我對與會話無關(guān)的部分完全感到困惑。這就是頁面上所說的：客戶端無需“登錄”或“啟動連接”。HTTP驗(yàn)證在每條消息上自動完成?？蛻舳藨?yīng)用程序是資源而不是服務(wù)的使用者。因此，沒有什么可登錄的！假設(shè)您正在通過REST Web服務(wù)預(yù)訂航班。您不會為服務(wù)創(chuàng)建新的“會話”連接。而是您要求“行程創(chuàng)建者對象”為您創(chuàng)建一個(gè)新的行程。您可以開始填充空白，然后在網(wǎng)絡(luò)上的其他位置獲取一些完全不同的組件來填充其他空白。沒有會話，因此在客戶端之間遷移會話狀態(tài)沒有問題。也沒有“會話親緣關(guān)系”的問題好的，我知道每條消息都會自動完成HTTP身份驗(yàn)證-但是如何？用戶名/密碼是否隨每個(gè)請求一起發(fā)送？那不是增加攻擊表面積嗎？我覺得我好像迷失了一部分。有一個(gè)REST服務(wù)（例如）/session接受GET請求是否會很糟糕，您將在其中傳遞用戶名/密碼作為請求的一部分，如果身份驗(yàn)證成功，則返回一個(gè)會話令牌，然后與后續(xù)請求一起傳遞？從REST的角度來看這是否有意義，還是缺少這一點(diǎn)？