用于保护任何web应用程序的有效提示

如果你想保护你的应用程序，那么你应该首先使用HTTPS而不是HTTP，这样可以确保你和用户之间建立一个安全的通道，防止嗅探来回发送给用户的数据，并有助于对交换的数据保密。

您可以使用JWT（JSON Web令牌）来保护RESTful API，与服务器端会话相比，这有很多好处，好处主要是：

1-更具可扩展性，因为您的API服务器不必为每个用户维护会话（当您有多个会话时，这可能是一个很大的负担）

2-JWT是独立的，具有定义用户角色的声明，例如，他可以访问的内容，并在日期和到期日发布（之后JWT将无效）

3-更易于跨负载平衡器处理&如果您有多个API服务器，因为您不必共享会话数据，也不必配置服务器将会话路由到同一服务器，只要JWT请求命中任何服务器，就可以对其进行身份验证和授权

4-减少了数据库的压力，也不必为每个请求不断存储和检索会话id和数据

5-如果您使用强密钥签署JWT，JWT不会被篡改，因此您可以信任随请求发送的JWT中的声明，而无需检查用户会话&无论他是否获得授权，您只需检查JWT，然后您就可以知道该用户可以做什么。

许多库提供了在大多数编程语言中创建和验证JWT的简单方法，例如：在node.js中，最流行的是jsonwebtoken

由于REST API通常旨在使服务器保持无状态，因此JWT与这一概念更为兼容，因为每个请求都使用自包含的授权令牌（JWT）发送，而服务器无需跟踪用户会话，而会话使服务器保持有状态，从而记住用户及其角色，然而，会话也被广泛使用并有其优点，如果需要，可以搜索。

需要注意的一点是，您必须使用HTTPS将JWT安全地交付给客户机，并将其保存在安全的地方（例如，本地存储）。

您可以通过此链接了解有关JWT的更多信息

@skrevel（http://www.berenddeboer.net/rest/authentication.html )讨论了一种复杂但真正失败的身份验证方法。

您可以尝试访问该页面（该页面应仅对经过身份验证的用户可见）http://www.berenddeboer.net/rest/site/authenticated.html没有任何登录凭据。

（很抱歉，我无法对答案发表评论。）

我会说REST和身份验证根本不混合。REST表示无状态，但“已验证”是一种状态。不能在同一层同时使用它们。如果你是一个RESTful的拥护者，并且不赞成状态，那么你必须使用HTTPS（即将安全问题留给另一层）。

首先也是最重要的，RESTful web服务是无状态的（或者换句话说，无会话的）。因此，RESTful服务没有也不应该包含会话或cookie的概念。在RESTful服务中进行身份验证或授权的方法是使用RFC 2616 HTTP规范中定义的HTTP授权头。每个请求都应该包含HTTP授权头，并且请求应该通过HTTPs（SSL）连接发送。这是在HTTPRESTful web服务中进行身份验证和验证请求授权的正确方法。我已经为Cisco Systems的Cisco PRIME Performance Manager应用程序实现了RESTful web服务。作为web服务的一部分，我还实现了身份验证/授权。

这里是一个真正且完全的RESTful身份验证解决方案：

在身份验证服务器上创建公钥/私钥对。将公钥分发给所有服务器。当客户端进行身份验证时：3.1.发行包含以下内容的代币：到期时间用户名（可选）用户IP（可选）密码散列（可选）3.2.使用私钥加密令牌。3.3.将加密令牌发送回用户。当用户访问任何API时，还必须传递其身份验证令牌。服务器可以通过使用身份验证服务器的公钥解密令牌来验证令牌是否有效。

这是无状态/RESTful身份验证。

注意，如果包含密码哈希，则用户还将发送未加密的密码以及身份验证令牌。服务器可以通过比较散列来验证密码是否与用于创建身份验证令牌的密码匹配。需要使用HTTPS之类的安全连接。客户端的Javascript可以处理获取用户的密码并将其存储在客户端，可以存储在内存中，也可以存储在cookie中，可能使用服务器的公钥进行加密。

使用公钥基础结构（其中密钥的注册涉及适当的绑定）可确保公钥以确保不可抵赖的方式绑定到分配给其的个人

看见http://en.wikipedia.org/wiki/Public_key_infrastructure . 如果您遵循正确的PKI标准，可以识别并锁定不正确使用被盗密钥的人或代理。如果要求代理使用证书，则绑定变得非常紧密。一个聪明且行动迅速的小偷可以逃跑，但他们会留下更多的面包屑。

我怀疑那些热情高喊“HTTP认证”的人是否曾尝试过用REST制作基于浏览器的应用程序（而不是机器对机器的web服务）（无意冒犯-我只是认为他们从未面临过复杂的问题）。

我在RESTful服务上使用HTTP身份验证时发现的问题是：

用户通常会收到一个难看的浏览器制作的登录框，这对用户非常不友好。您不能添加密码检索、帮助框等。注销或以其他名称登录是一个问题-浏览器将一直向站点发送身份验证信息，直到您关闭窗口超时很困难

这里有一篇非常有见地的文章，逐点解决了这些问题，但这导致了许多特定于浏览器的javascript黑客、变通方法等。因此，它也不向前兼容，因此在发布新浏览器时需要不断维护。我不认为这是一个干净清晰的设计，而且我觉得这是一项额外的工作，很头疼，因为这样我才能热情地向朋友展示我的REST徽章。

我认为饼干是解决方案。但是等等，饼干是邪恶的，不是吗？不，他们不是，饼干经常被使用的方式是邪恶的。cookie本身只是一条客户端信息，就像您浏览时浏览器会跟踪的HTTP身份验证信息一样。这段客户端信息在每次请求时都会被发送到服务器，就像HTTP身份验证信息一样。从概念上讲，唯一的区别是，这段客户端状态的内容可以由服务器作为其响应的一部分来确定。

通过使用以下规则使会话成为RESTful资源：

会话将密钥映射到用户id（可能还有超时的最后一个操作时间戳）如果会话存在，则意味着密钥有效。登录意味着发布到/会话，新密钥设置为cookie注销意味着删除/会话/｛key｝（要记住，我们是一个浏览器，HTML5还有很长的路要走）通过在每次请求时将密钥作为cookie发送并检查会话是否存在和有效来完成身份验证

现在，与HTTP身份验证的唯一区别是，身份验证密钥由服务器生成，并发送给客户端，客户端继续发送该密钥，而不是客户端根据输入的凭据计算该密钥。

converter42补充道，当使用https（我们应该这样做）时，cookie必须设置其安全标志，这样身份验证信息就不会通过非安全连接发送。说得好，我自己都没看到。

我觉得这是一个足够好的解决方案，但我必须承认，我还不够安全专家来识别这个方案中的潜在漏洞-我所知道的是，数百个非RESTful web应用程序使用基本相同的登录协议（PHP中的$_SESSION，Java EE中的HttpSession等），就像接受语言可以用于访问翻译资源等。我觉得这是一样的，但也许其他人不是这样？你们觉得呢，伙计们？