我认为restful身份验证涉及将身份验证令牌作为请求中的参数传递。示例是api对apikey的使用。我认为使用cookie或http身份验证不合格。

用于保护任何web应用程序的有效提示

如果你想保护你的应用程序，那么你应该首先使用HTTPS而不是HTTP，这样可以确保你和用户之间建立一个安全的通道，防止嗅探来回发送给用户的数据，并有助于对交换的数据保密。

您可以使用JWT（JSON Web令牌）来保护RESTful API，与服务器端会话相比，这有很多好处，好处主要是：

1-更具可扩展性，因为您的API服务器不必为每个用户维护会话（当您有多个会话时，这可能是一个很大的负担）

2-JWT是独立的，具有定义用户角色的声明，例如，他可以访问的内容，并在日期和到期日发布（之后JWT将无效）

3-更易于跨负载平衡器处理&如果您有多个API服务器，因为您不必共享会话数据，也不必配置服务器将会话路由到同一服务器，只要JWT请求命中任何服务器，就可以对其进行身份验证和授权

4-减少了数据库的压力，也不必为每个请求不断存储和检索会话id和数据

5-如果您使用强密钥签署JWT，JWT不会被篡改，因此您可以信任随请求发送的JWT中的声明，而无需检查用户会话&无论他是否获得授权，您只需检查JWT，然后您就可以知道该用户可以做什么。

许多库提供了在大多数编程语言中创建和验证JWT的简单方法，例如：在node.js中，最流行的是jsonwebtoken

由于REST API通常旨在使服务器保持无状态，因此JWT与这一概念更为兼容，因为每个请求都使用自包含的授权令牌（JWT）发送，而服务器无需跟踪用户会话，而会话使服务器保持有状态，从而记住用户及其角色，然而，会话也被广泛使用并有其优点，如果需要，可以搜索。

需要注意的一点是，您必须使用HTTPS将JWT安全地交付给客户机，并将其保存在安全的地方（例如，本地存储）。

您可以通过此链接了解有关JWT的更多信息

老实说，我在这里看到了很好的答案，但让我有点困扰的是，当有人将整个无状态概念推向极端，使其变得教条化时。这让我想起了那些只想拥抱纯OO的Smalltalk老粉丝，如果某个东西不是对象，那么你就错了。放过我

RESTful方法应该让你的生活更轻松，减少会议的开销和成本，尽量遵循它，因为这是一件明智的事情，但一旦你遵循一个纪律（任何纪律/准则）到了极致，它不再提供其预期的好处，那么你就错了。当今一些最好的语言同时具备函数式编程和面向对象。

如果解决问题的最简单方法是将身份验证密钥存储在cookie中并通过HTTP标头发送，那么就这样做吧，不要滥用它。请记住，当会话变得沉重和庞大时，会话是不好的，如果所有会话都由一个包含密钥的短字符串组成，那么有什么大不了的？

我愿意接受评论中的更正，但我只是认为（到目前为止）避免在我们的服务器中保存一本大字典的哈希值，这没有什么意义。

以我的理解来回答这个问题。。。

一种使用REST的身份验证系统，因此您不需要实际跟踪或管理系统中的用户。这是通过使用HTTP方法POST、GET、PUT、DELETE完成的。我们采用这4种方法，并将它们视为数据库交互的CREATE、READ、UPDATE、DELETE（但在web上，我们使用POST和GET，因为这是锚标记当前支持的）。因此，将POST和GET视为我们的CREATE/READ/UPDATE/DELETE（CRUD），然后我们就可以在web应用程序中设计路由，从而推断出我们正在实现的CRUD操作。

例如，在RubyonRails应用程序中，我们可以构建我们的web应用程序，以便如果登录的用户访问http://store.com/account/logout则该页面的GET可以被视为用户试图注销。在我们的rails控制器中，我们将在中构建一个操作，将用户注销并将其发送回主页。

登录页面上的GET将生成一个表单。登录页上的POST将被视为登录尝试，并获取POST数据并使用它进行登录。

对我来说，这是一种使用映射到其数据库含义的HTTP方法的实践，然后构建一个身份验证系统，您不需要传递任何会话id或跟踪会话。

我还在学习——如果你发现我说的任何错误，请纠正我，如果你了解更多，请将其张贴在这里。谢谢

我认为restful身份验证涉及将身份验证令牌作为请求中的参数传递。示例是api对apikey的使用。我认为使用cookie或http身份验证不合格。

这里是一个真正且完全的RESTful身份验证解决方案：

在身份验证服务器上创建公钥/私钥对。将公钥分发给所有服务器。当客户端进行身份验证时：3.1.发行包含以下内容的代币：到期时间用户名（可选）用户IP（可选）密码散列（可选）3.2.使用私钥加密令牌。3.3.将加密令牌发送回用户。当用户访问任何API时，还必须传递其身份验证令牌。服务器可以通过使用身份验证服务器的公钥解密令牌来验证令牌是否有效。

这是无状态/RESTful身份验证。

注意，如果包含密码哈希，则用户还将发送未加密的密码以及身份验证令牌。服务器可以通过比较散列来验证密码是否与用于创建身份验证令牌的密码匹配。需要使用HTTPS之类的安全连接。客户端的Javascript可以处理获取用户的密码并将其存储在客户端，可以存储在内存中，也可以存储在cookie中，可能使用服务器的公钥进行加密。