Вроде бы если прям RESTfull, то сервер не должен хранить состояние клиента (в том числе и сессию). Соответственно авторизации на RESTfull быть не должно.
Waksim, Это я ещё не обратил внимание что письмо пришло сканом на почту! Вообще можно проигнорировать! А если прям серьёзно приедут дядьки в погонах, то сказать: Ой, в спам попало! :)))
Вариант запретить одновременный доступ с двух разных ip + useragent - не рассматриваете? Просто в таком случае они сами не захотят делиться своим аккаунтом, потому что не смогут в него попасть.
Adamos, Соглашусь! Можно на контр-примерах всё построить типа "Как не надо делать и как это делается правильно".
- Здравствуйте, студенты! Сегодня мы рассмотрим интерфейс очередного "мамкиного дизайнера" и выясним чем он плох...
Точно. Обратный слеш заметил, а вот что они в обратном порядке - нет :)
Ещё подумал, какое странное название для контроллера f1e5d7a5fe13498abbdeb0f1f19136a8
Сергей Горностаев, К сожалению моё знакомство с регистрами и ассемблером закончилось ДО появления 64х битных процессоров. Во всяком случае у меня в доступе их не было. :) Просто не стал писать о том, чего точно не знаю и с чем не имел дело.