免責聲明：我是REST思想流派的新手，我正努力將其束縛在其中。因此，我正在閱讀此頁面Common REST Mistakes，我發現我對與會話無關的部分完全感到困惑。這就是頁面上所說的：客戶端無需“登錄”或“啟動連接”。HTTP驗證在每條消息上自動完成。客戶端應用程序是資源而不是服務的使用者。因此，沒有什么可登錄的！假設您正在通過REST Web服務預訂航班。您不會為服務創建新的“會話”連接。而是您要求“行程創建者對象”為您創建一個新的行程。您可以開始填充空白，然后在網絡上的其他位置獲取一些完全不同的組件來填充其他空白。沒有會話，因此在客戶端之間遷移會話狀態沒有問題。也沒有“會話親緣關系”的問題好的，我知道每條消息都會自動完成HTTP身份驗證-但是如何？用戶名/密碼是否隨每個請求一起發送？那不是增加攻擊表面積嗎？我覺得我好像迷失了一部分。有一個REST服務（例如）/session接受GET請求是否會很糟糕，您將在其中傳遞用戶名/密碼作為請求的一部分，如果身份驗證成功，則返回一個會話令牌，然后與后續請求一起傳遞？從REST的角度來看這是否有意義，還是缺少這一點？