Tokeny OAuth i sesje w REST
Minutę przeczytałem artykuł o OAuth. Opisano zwłaszcza tokeny wymieniane między klientem a usługodawcą podczas szeregu żądań.
W artykule wspomniano również, że OAuth zyskuje znaczną popularność w RESTful API jako warstwa autoryzacji. Jak rozumiem, REST powinien być całkowicie bezpaństwowy.
Pytanie: czy ta powtarzana przez REST torpeda nie jest „bezstanową” zasadą? IMHO tokeny mogą być postrzegane jako rodzaj identyfikatora sesji, prawda?