问会话是否真的违反RESTfulness？

在RESTful API中使用会话是否违反RESTfulness？我已经看到了许多意见，但我不相信会议是RESTless。从我的观点：

• RESTfulness不会禁止认证（否则在RESTful服务中几乎没有用处）
• 身份验证是通过在请求中发送身份验证令牌来完成的，通常是头部
• 这个认证令牌需要以某种方式被获得，并且可能被撤销，在这种情况下，它需要被更新
• 身份验证令牌需要服务器验证（否则不会进行身份验证）

那么会话如何违反这个规定呢？

• 客户端，会话使用cookie来实现
• cookies只是一个额外的HTTP头
• 会话cookie可以在任何时候被获取和撤销
• 会话cookie可以有一个无限的生活时间，如果需要的话
• 会话ID（身份验证令牌）在服务器端进行验证

因此，对于客户端，会话cookie与任何其他基于HTTP头的认证机制完全相同，除了它使用Cookie标头而不是Authorization其他专有标头。如果没有会话附加到cookie值服务器端，为什么会有所作为？只要服务器表现为 RESTful ，服务器端实现就不需要关心客户端。因此，Cookie本身不应该使API 变得无法使用，而会话只是客户端的Cookie。