Estoy trabajando en una API REST que será utilizada por los desarrolladores que escriben aplicaciones móviles. Los usuarios podrán usar servicios de terceros (Google, Twitter, etc.) para autenticarse, esto es manejado principalmente por OAuth (dependiendo del servicio en cuestión). Usamos OAuth de 2 patas entre la aplicación cliente y el servidor API (donde la clave/secreto del consumidor es específico de la aplicación, el desarrollador la obtiene de nuestro sitio cuando la aplicación se registra allí).Cómo implementar una API REST sin estado
Mi problema es cómo manejar el seguimiento de la autenticación del usuario de forma apátrida. No tengo las credenciales de los usuarios para enviar en cada solicitud. Podría crear un session_id único cuando un usuario inicie sesión y luego lo requiera en cada solicitud a la API REST. ¿Hay alguna otra solución a mi problema? ¿Usar un session_id único para identificar al usuario causa problemas desde una perspectiva de API REST sin estado?
Todavía estoy digiriendo este buen artículo de John Wilander. Tal vez pueda ayudarte también. http://appsandsecurity.blogspot.com/2011/04/rest-and-stateless-session-ids.html – RayLuo