不使用HTTP身份验证处理restful登录

我正在开发一个web应用程序，我决定使用node.js使服务器端成为一个几乎restful的web服务

我说几乎是restful的，因为虽然我希望使用资源范式，但我希望在做某些事情时更加灵活，即身份验证

我读过的所有文章、教程和示例都说我应该使用HTTPAuth进行身份验证。但我有一个不同的想法

我制作了一个名为session的资源，其工作原理如下：

会后/会期

创建会话并返回会话id。此会话id值将用于此会话中的所有请求。此时，用户尚未登录，但有一个会话，所以我可以为会话设置值

PUT/session{session，email，password}

使用用户值更新会话

删除/会话{session}

删除会话，注销用户

以下是问题：

这个会话资源是否有意义，或者它只是将这种灵活性发挥得太过分了？ 如果这是真正的restful，我应该在请求中包括session id，比如/session/：id，但是因为session对于用户来说就像是一个单例资源，所以没有其他的session是可能的，所以以这种方式调整规则是无害的。这是个好主意吗？ 可能有帮助