Как реализовать REST API без сохранения состояния

Я работаю над REST API, который будет использоваться разработчиками, пишущими мобильные приложения. Пользователи смогут использовать сторонние сервисы (Google, Twitter и т. Д.) Для аутентификации, это в основном обрабатывается OAuth (в зависимости от рассматриваемой службы). Мы используем двухсторонний протокол OAuth между клиентским приложением и сервером API (где ключ / секрет потребителя зависит от приложения, разработчик получает его с нашего сайта, когда приложение там регистрируется).

Моя проблема в том, как обрабатывать, чтобы отслеживать аутентификацию пользователя без сохранения состояния. У меня нет учетных данных пользователя для отправки каждого запроса. Я мог бы создать уникальный session_id, когда пользователь входит в систему, а затем требовать его в каждом запросе к REST API. Есть ли другие решения моей проблемы? Вызывает ли использование уникального идентификатора session_id для идентификации пользователя какие-либо проблемы с точки зрения REST API без сохранения состояния?