[Moscow.pm] Аутентификация для REST API

[Alexey Shrub]

On Пт, сен 23, 2016 в 10:28 , Ivan Petrov 
<i.petro.77.00 на gmail.com> wrote:
> именно. потому и говорю, что куки и API - 
> не очень [правильно]
> совместимые вещи

Когда в HTTP/REST говорят о stateless 
подразумевают сервер, т.е. на сервере 
не должно быть состояния, результат 
запроса не должен зависеть от истории 
запросов.
Поэтому клиентские куки без сессии на 
сервере вполне удовлетворяют 
требованию stateless и если бы не их 
проблемы со всякими XSS, то вполне был бы 
вариант.