服务器端会话是否违反REST？

根据Roy Fielding（HTTP规范的主要作者之一）在讨论REST时的开创性论文《建筑风格》中提到，他提到：

从客户端到服务器的每个请求都必须包含理解该请求所需的所有信息，并且不能利用服务器上存储的任何上下文。

通过“存储的上下文”他指的是应用程序的状态如什么下一页的页码是对资源的状态，例如任何数据存储，图像等-这可以说是整点休息。

可以公平地说，大多数纯休息尝试（据此定义为符合上述论点的实现）都必须失败，因为它们依赖于在服务器上存储会话数据（持久性还是其他方式）？

会话的概念很常见-特别是对于Web开发人员-但是根据上面的定义它是否是RESTful的？

我会说是的，会话状态的确使RESTful应用成为非RESTful。举个小例子，我姐姐订阅了《华尔街日报》。她会定期阅读付费专页后面的内容，并决定将链接（通过她自己的电子邮件客户端，而不是通过WSJ）发送给没有WSJ帐户的朋友。单击，发送失败。显然，我姐姐在那个URL上的经历不同于她朋友的经历。

相关但不严格的主题：我正处于一个应用程序的早期设计阶段，该应用程序旨在支持网络上的大量研究工作（称为quests（请思考：类固醇和LSD上的书签））。任务的所有者希望与其他人共享其数据的特定视图，但是此视图需要UI状态（例如，哪些数据显示在哪些窗格中的哪些可视化效果）以及访问UI的适当权限的组合并显示数据。接收者需要很多存储状态才能获得预期的视图。

我目前的解决方案是将所有视图的UI / ACL /一切必要的信息存储在一个单独的对象和返回URL（可能是UUID）该对象。我认为从某种意义上来说，访问视图对象可以被认为是RESTful的，因为拥有它的每个人都会获得相同的信息/体验。

服务器端会话是否违反REST？

他们一定会！实施REST时，必须没有服务器端会话，否则，您将具有混合RPC / REST解决方案。

每次发出新请求时，客户端必须向RESTful服务发送服务该请求所需的所有上下文，包括认证客户端所需的信息。服务器可以自由地缓存信息以更快地处理后续请求，但是缓存的信息不得等于服务器端会话。换句话说，即使没有缓存状态，请求本身也必须包含足以处理的信息。

可能取决于您所说的“会话数据”。这是一个精确的词吗？

双方之间的安全通信通常涉及服务器生成（和存储）限时的“访问令牌”，客户端必须随授权向每个请求提供该令牌。这个访问令牌已经是我所谓的“会话数据”了-它存储在服务器端，有时间限制，并且与一个客户端（通常是他的权限）相关。

如果将这种操作标记为非RESTful，我会感到非常惊讶。OAuth是一个示例。

我不是专家，在这里我也不是很自信。我只是分享我的见解，希望它们能对您有所帮助。

REST最重要的一点是，资源的URI始终指向相同的资源。因此，用户可以传递对此资源的引用，并且每个人都可以看到相同的内容。这称为代表性状态转移（REST）。如果服务器保持状态并为相同的URI提供不同的资源，我会说这不再是纯REST。

会话基本上用于向无状态的RESTful应用程序添加状态。因此，从形式上讲，这使您的RESTful应用程序成为有状态的，但是让服务器保持状态会使您的生活变得更轻松，因为您不必在每个请求/响应上来回传递所有数据。

会话（更一般地说，状态）使您可以避免这种情况，这在性能（传输的数据较少）和安全性（可用于篡改的数据较少）方面具有一些积极的好处。

因此，尽管它正式违反了REST定义的一部分，但它是如此有用，以至于很少见到不通过会话使用状态的RESTful应用程序。

该声明的意思是Fielding托管REST API的应用程序服务器不会通过某种幕后机制将环境状态与请求关联。考虑一下应用程序服务器和数据库服务器之间的区别。REST约束是应用程序服务器应该是无状态的。但是，应用程序服务器可以基于作为请求一部分的信息（例如，授权标头中的用户/密码组合或Uri本身）将对资源状态的请求委托给数据库服务器。毕竟，REST是基于客户端/服务器模型的。