这就是实现这一点的方法：使用OAuth 2.0进行登录。

您可以使用Google以外的其他身份验证方法，只要它支持OAuth。

@skrevel（http://www.berenddeboer.net/rest/authentication.html )讨论了一种复杂但真正失败的身份验证方法。

您可以尝试访问该页面（该页面应仅对经过身份验证的用户可见）http://www.berenddeboer.net/rest/site/authenticated.html没有任何登录凭据。

（很抱歉，我无法对答案发表评论。）

我会说REST和身份验证根本不混合。REST表示无状态，但“已验证”是一种状态。不能在同一层同时使用它们。如果你是一个RESTful的拥护者，并且不赞成状态，那么你必须使用HTTPS（即将安全问题留给另一层）。

首先也是最重要的，RESTful web服务是无状态的（或者换句话说，无会话的）。因此，RESTful服务没有也不应该包含会话或cookie的概念。在RESTful服务中进行身份验证或授权的方法是使用RFC 2616 HTTP规范中定义的HTTP授权头。每个请求都应该包含HTTP授权头，并且请求应该通过HTTPs（SSL）连接发送。这是在HTTPRESTful web服务中进行身份验证和验证请求授权的正确方法。我已经为Cisco Systems的Cisco PRIME Performance Manager应用程序实现了RESTful web服务。作为web服务的一部分，我还实现了身份验证/授权。

2019年2月16日更新

下面前面提到的方法本质上是OAuth2.0的“资源所有者密码凭据”授予类型。这是一种简单的起床和跑步方式。然而，使用这种方法，组织中的每个应用程序最终都将拥有自己的身份验证和授权机制。建议采用“授权代码”授权类型。此外，在下面我先前的回答中，我建议使用浏览器localStorage来存储身份验证令牌。然而，我开始相信饼干是实现这一目的的正确选择。在StackOverflow的回答中，我详细介绍了我的原因、授权代码授予类型实现方法、安全考虑等。

我认为以下方法可用于REST服务身份验证：

创建一个登录RESTful API以接受用户名和密码进行身份验证。使用HTTP POST方法在传输过程中防止缓存和SSL安全成功认证后，API返回两个JWT-一个访问令牌（有效期更短，例如30分钟）和一个刷新令牌（有效性更长，例如24小时）客户端（一个基于web的UI）将JWT存储在本地存储中，并且在随后的每个API调用中都会传递“Authorization：Bearer#access token”标头中的访问令牌API通过验证签名和到期日期来检查令牌的有效性。如果令牌有效，请检查用户（它将JWT中的“sub”声明解释为用户名）是否可以通过缓存查找访问API。如果用户被授权访问API，则执行业务逻辑如果令牌过期，API将返回HTTP响应代码400客户端在收到400/401时，调用另一个REST API，并在“Authorization：Bearer#refresh token”标头中使用刷新令牌来获取新的访问令牌。收到带有刷新令牌的呼叫时，通过检查签名和到期日期来检查刷新令牌是否有效。如果刷新令牌有效，则从DB刷新用户的访问权限缓存，并返回新的访问令牌和刷新令牌。如果刷新令牌无效，则返回HTTP响应代码400如果返回了新的访问令牌和刷新令牌，请转到步骤2。如果返回HTTP响应代码400，则客户端假定刷新令牌已过期，并向用户请求用户名和密码要注销，请清除本地存储

使用这种方法，我们每30分钟就要执行一次昂贵的操作，即加载具有用户特定访问权限详细信息的缓存。因此，如果取消了访问或授予了新的访问权限，则需要30分钟才能反映或注销，然后登录。

这当然不是关于“会话密钥”，因为它通常用于指在REST的所有约束条件下执行的无会话身份验证。每个请求都是自我描述的，携带足够的信息，可以在没有任何服务器端应用程序状态的情况下自行授权请求。

最简单的方法是从RFC 2617中的HTTP内置认证机制开始。

老实说，我在这里看到了很好的答案，但让我有点困扰的是，当有人将整个无状态概念推向极端，使其变得教条化时。这让我想起了那些只想拥抱纯OO的Smalltalk老粉丝，如果某个东西不是对象，那么你就错了。放过我

RESTful方法应该让你的生活更轻松，减少会议的开销和成本，尽量遵循它，因为这是一件明智的事情，但一旦你遵循一个纪律（任何纪律/准则）到了极致，它不再提供其预期的好处，那么你就错了。当今一些最好的语言同时具备函数式编程和面向对象。

如果解决问题的最简单方法是将身份验证密钥存储在cookie中并通过HTTP标头发送，那么就这样做吧，不要滥用它。请记住，当会话变得沉重和庞大时，会话是不好的，如果所有会话都由一个包含密钥的短字符串组成，那么有什么大不了的？

我愿意接受评论中的更正，但我只是认为（到目前为止）避免在我们的服务器中保存一本大字典的哈希值，这没有什么意义。