这就是实现这一点的方法：使用OAuth 2.0进行登录。

您可以使用Google以外的其他身份验证方法，只要它支持OAuth。

首先也是最重要的，RESTful web服务是无状态的（或者换句话说，无会话的）。因此，RESTful服务没有也不应该包含会话或cookie的概念。在RESTful服务中进行身份验证或授权的方法是使用RFC 2616 HTTP规范中定义的HTTP授权头。每个请求都应该包含HTTP授权头，并且请求应该通过HTTPs（SSL）连接发送。这是在HTTPRESTful web服务中进行身份验证和验证请求授权的正确方法。我已经为Cisco Systems的Cisco PRIME Performance Manager应用程序实现了RESTful web服务。作为web服务的一部分，我还实现了身份验证/授权。

使用公钥基础结构（其中密钥的注册涉及适当的绑定）可确保公钥以确保不可抵赖的方式绑定到分配给其的个人

看见http://en.wikipedia.org/wiki/Public_key_infrastructure . 如果您遵循正确的PKI标准，可以识别并锁定不正确使用被盗密钥的人或代理。如果要求代理使用证书，则绑定变得非常紧密。一个聪明且行动迅速的小偷可以逃跑，但他们会留下更多的面包屑。

这当然不是关于“会话密钥”，因为它通常用于指在REST的所有约束条件下执行的无会话身份验证。每个请求都是自我描述的，携带足够的信息，可以在没有任何服务器端应用程序状态的情况下自行授权请求。

最简单的方法是从RFC 2617中的HTTP内置认证机制开始。

以我的理解来回答这个问题。。。

一种使用REST的身份验证系统，因此您不需要实际跟踪或管理系统中的用户。这是通过使用HTTP方法POST、GET、PUT、DELETE完成的。我们采用这4种方法，并将它们视为数据库交互的CREATE、READ、UPDATE、DELETE（但在web上，我们使用POST和GET，因为这是锚标记当前支持的）。因此，将POST和GET视为我们的CREATE/READ/UPDATE/DELETE（CRUD），然后我们就可以在web应用程序中设计路由，从而推断出我们正在实现的CRUD操作。

例如，在RubyonRails应用程序中，我们可以构建我们的web应用程序，以便如果登录的用户访问http://store.com/account/logout则该页面的GET可以被视为用户试图注销。在我们的rails控制器中，我们将在中构建一个操作，将用户注销并将其发送回主页。

登录页面上的GET将生成一个表单。登录页上的POST将被视为登录尝试，并获取POST数据并使用它进行登录。

对我来说，这是一种使用映射到其数据库含义的HTTP方法的实践，然后构建一个身份验证系统，您不需要传递任何会话id或跟踪会话。

我还在学习——如果你发现我说的任何错误，请纠正我，如果你了解更多，请将其张贴在这里。谢谢

这就是实现这一点的方法：使用OAuth 2.0进行登录。

您可以使用Google以外的其他身份验证方法，只要它支持OAuth。