In der anderen Minute las ich einen Artikel über OAuth. Es wurden insbesondere die Tokens beschrieben, die während einer Reihe von Anfragen zwischen Client und Service Provider ausgetauscht wurden.

Der Artikel erwähnte auch, dass OAuth in RESTful-APIs als Berechtigungsschicht eine bedeutende Popularität erlangt. Wie ich verstanden habe, sollte REST vollständig staatenlos gehalten werden.

Die Frage: Torpediert dieser wiederholte Token-Austausch nicht das REST-Prinzip "Staatenlos sein"? IMHO können die Token als eine Art Sitzungs-ID angesehen werden, nicht wahr?