É confuso para mim interpretar o termo "stateless" na REST API. Por exemplo, ao ler este artigo, ele tem o seguinte texto:
O último princípio que quero abordar é a comunicação sem estado. Primeiro, é importante enfatizar que, embora REST inclua a ideia de ausência de estado, isso não significa que um aplicativo que expõe sua funcionalidade não possa ter estado — na verdade, isso tornaria toda a abordagem bastante inútil na maioria dos cenários. REST exige que o estado seja transformado em estado de recurso ou mantido no cliente. Em outras palavras, um servidor não deve ter que reter algum tipo de estado de comunicação para nenhum dos clientes com os quais se comunica além de uma única solicitação.
Para isso, entendo que a aplicação da API mencionada no título desta pergunta é sem estado porque a sessão é usada para autenticação do usuário (ela armazena o estado do usuário, não o estado da aplicação).
Meu entendimento está correto?
Caso contrário, o que acontece se o aplicativo usar tokens JWT para autenticação, mas também armazenar JWT em um banco de dados (no mesmo servidor ou em um servidor diferente)? Ele ainda é considerado sem estado?
A definição autoritativa de REST é a dissertação de Fielding de 2000. A explicação de Fielding sobre a restrição arquitetônica sem estado está no capítulo 5.
Compare isso com algo como FTP, onde os comandos são interpretados dentro do contexto da sessão no servidor (que "lembra" PWD, modos, usuário e assim por diante).
Também pode valer a pena revisar o capítulo seis, onde Fielding discute incompatibilidades entre REST e HTTP, incluindo: cookies .