这其实和stateless没啥关系,因为rest stateless主要说的restful操作的主数据部分API，根本和鉴权数据没啥关系。
其次cookie只是为浏览器缓存准备的特殊通信header，没有浏览器给你管cookie的情况下，你所谓的cookie实际是你自己管理存存储，你通信的时候放着直接的header不来，还要自己造个Cookie玩，那不成舍近求远了吗？
在RestfulAPI中，如果需要伺候浏览器代码，直接加个sessionmiddleware就完了，而且所有上面这一切都不用自己思考设计，因为Restful框架是有标准设计实现放在那儿，你所要做的只是理解清楚用对就行了。
给你推荐两本书：《ESTful Web Services Cookbook中文版》、《RESTful Web APIs中文版》
然后把java语言的Jersey或者DjangoRestFramework之类的框架文档看一遍，基本也就没啥问题了，用框架不仅可以让你少实现轮子，主要是直接学会框架包含的成熟的设计方式。
【 在 facilitator 的大作中提到: 】
: 虽然只是header当中的一个字段 理论上并不是严重的问题 但是需要先login一次才能获得authentication token 不算是严格的stateless了
--
修改:dhcn FROM 111.196.4.*
FROM 111.196.4.*