如何实现无状态 REST API

Question

我正在开发一个 REST API，供编写移动应用程序的开发人员使用。用户将能够使用第三方服务（Google、Twitter 等）来验证自己的身份，这主要由 OAuth 处理（取决于相关服务）。我们在客户端应用程序和 API 服务器之间使用 2 足 OAuth（其中消费者密钥/秘密是应用程序特定的，开发人员在应用程序注册时从我们的网站获取它）。

我的问题是如何以无状态方式跟踪用户身份验证。我没有在每个请求中发送的用户凭据。我可以在用户登录时创建一个唯一的 session_id，然后在对 REST API 的每个请求中都需要该 ID。我的问题还有其他解决方案吗？从无状态 REST API 的角度来看，使用唯一的 session_id 来识别用户是否会导致任何问题？

Answer 1

免责声明：无论如何，我不是安全专家。

不要将其称为 session_Id。将其称为身份验证令牌，并使用您自己的身份验证方案向其传递 Authorization HTTP 标头。有关示例，请参阅 Google AuthSub。

除了识别用户并确定他们是否有权执行请求之外，请勿将此身份验证令牌用于任何其他用途。不要将任何状态与令牌关联，也不要根据它检索用户首选项。