Minutę przeczytałem artykuł o OAuth. Opisano zwłaszcza tokeny wymieniane między klientem a usługodawcą podczas szeregu żądań.

W artykule wspomniano również, że OAuth zyskuje znaczną popularność w RESTful API jako warstwa autoryzacji. Jak rozumiem, REST powinien być całkowicie bezpaństwowy.

Pytanie: czy ta powtarzana przez REST torpeda nie jest „bezstanową” zasadą? IMHO tokeny mogą być postrzegane jako rodzaj identyfikatora sesji, prawda?