cookieでのセッション管理は必要悪
RESTfulなWebアプリを標榜するならcookieでのセッション管理などもってのほかだと思っていたのだが、山本陽平さんの記事を読んで目から鱗が落ちた。
HTTP をステートフルにする代表格はクッキーを使ったセッション管理です。REST アーキテクチャスタイルの視点からみると、クッキーを使ったセッション管理は間違った HTTP の拡張、ということになります。
http://blogs.ricollab.jp/webtech/introduction_to_rest_no_1/#stateless_server
クッキーのように REST 的に見ると間違っているものが現実世界にはいくつか存在します。でも REST 的に間違っているからといって、クッキーを使ったフォーム認証をやめるわけにはいかないというのもまた現実です。しかし、やめられないから REST を無視していい、となるのではなく、REST アーキテクチャスタイルを知った上で必要悪として最小限のクッキーを使うべきである、と筆者は考えています。
だいぶ気が楽になった。これで前に進めそう。