В данный момент реализую REST вебсервисы в одном проекте. Задался вопросом насколько аутентификация на базе JSESSIONID нарушает принципы REST. JSESSIONID характеризует собой идентификатор сессии на стороне сервера а один из принципов REST говорит о том, что он должен быть stateless. В свою очередь в данном конкретном случае сессия используется только для хранения аутентификационной информации и больше не для чего.. никакого кастомного пользовательского состояния в ней храниться не будет. Можно ли считать такой подход допустимым при создании REST вебсервисов ?

Размышляя далее можно привести пример с OAuth2 где пользователю после успешной аутентификации/авторизации присваивается accessToken который обычно хранится в соответствующей таблице в базе данных. Такой подход считается stateless. В случае с JSESSIONID это фактически тот же accessToken только по умолчанию он хранится в другом месте.. в памяти.. на диске.

Так же при подходе с использованием JSESSIONID в кластерной среде необходимо настроить репликацию сессий.. но и этот подход очень схож с репликацией базы данных скажем тогда, когда мы используем OAuth2 accessToken.

Помогите пожалуйста разобраться в этом вопросе.

WGA,

просто одним из констрейнтов которые четко декларирует RESTявляется Stateless - The client–server communication is further constrained by no client context being stored on the server between requests.

В данном случае сессия все же создается но используется только для хранения аутентификационной информации и не более... вот пытаюсь понять чем такой подход отличается от скажем того же хранения той же информации в БД(который судя по всему этот Stateless констрейнт не нарушает)..

Фактически в данном случае сессия является контейнером для аутентификационной информации.. судя по всему таким же идеологически как и например база данных.

Именно поэтому хотелось бы получить мнение людей детально разбирающихся в данном вопросе.