Quote Originariamente inviata da MItaly Visualizza il messaggio
In genere in un'architettura di questo genere c'è una prima chiamata per autenticarsi; il server rilascia un token di qualche tipo (che rimane l'unica informazione "di sessione" persistente per un po' che sta lato server), che il lato client si salva a livello JavaScript. Tutte le chiamate ad API ricevono il token, che usano per sapere se l'utente è effettivamente autenticato e se è autorizzato a fare quello che la funzione richiede. Tutto il resto dello stato è lato client, il server rimane solo come provider di servizi.
si, immaginavo.
ed infatti è una domanda che ho fatto (mi ero dimenticato di scriverlo).

non si è parlato di token di nessun tipo.
e l'autenticazione è fatta con username/password da form.
solo che il form non viene indirizzato ad uno script lato server, ma viene fatta una chiamata ajax.
tramite ajax vengono inviate le coppie username/password.

uno ci ha costruito un intero ecommerce con questa architettura.