In genere in un'architettura di questo genere c'è una prima chiamata per autenticarsi; il server rilascia un token di qualche tipo (che rimane l'unica informazione "di sessione" persistente per un po' che sta lato server), che il lato client si salva a livello JavaScript. Tutte le chiamate ad API ricevono il token, che usano per sapere se l'utente è effettivamente autenticato e se è autorizzato a fare quello che la funzione richiede. Tutto il resto dello stato è lato client, il server rimane solo come provider di servizi.