Köszi az észrevételt!
Szerintem nem kell minden kliens számára ugyanazt visszaadnia egy erőforrásnak, ezt nem olvasom ki sehonnan a REST definíciójából, de ha tudsz idézni olyat, azt szívesen veszem. Az a része igaz, hogy minden kliensnek ugyanazt az információt kell visszaadnia a szervernek, ha ugyanazon adatokat kapja meg. Tehát, ha másik kliensnek is a birtokába jut a token, akkor az is ugyanazt az információt fogja visszakapni, más tokennel más információt fogsz visszakapni.
Minden egyes kérés bármelyik klienstől tartalmazza az összes szükséges információt a kérés kiszolgálásához, és minden állapotot a kliens tárol.
Ez igaz, hiszen minden adatot átad a kliens, az általa tárolt authentikációs tokent is.
A válaszoknak ezért impliciten vagy expliciten tartalmazniuk kell, hogy gyorsítótárazhatóak-e vagy sem.
Tehát nem kell minden lekérésnek gyorsítótárazhatónak lennie, ezt meg kell adni impliciten vagy expliciten. Pl., ha van Authorization header, akkor azt semmiképpen sem gyorsítótárazza publikusan, illetve expliciten is megadhatjuk a válaszban, hogy ne gyorsítótárazza.
Azt mindenképp elfogadom, hogy nem a legjobb példa. Az általad írt megoldás jobb, de az nem igazán jó példának.
Azt hiszem ki is veszem ezt a példát, mert bár a definíció szerint REST, de szellemében valóban nem igazán az.