我搜索了很多关于restful ws安全性的信息，最后我们通过cookie在客户端到服务器之间使用令牌来验证请求。我使用spring安全性来授权服务中的请求，因为我必须根据DB中已经存在的指定安全策略来验证和授权每个请求。

我推荐OAuth 2/3。更多信息请访问http://oauth.net/2/

对于Web应用程序安全，您应该看看OWASP(https://www.owasp.org/index.php/Main_Page)它为各种安全攻击提供了欺骗单。您可以采用尽可能多的措施来保护您的应用程序。关于API安全（授权、身份验证、身份管理），有多种方式（基本、摘要和OAuth）。OAuth1.0中存在循环漏洞，因此可以使用OAuth1.0a（由于对规范的担忧，OAuth2.0没有被广泛采用）

这已经有一段时间了，但这个问题仍然相关，尽管答案可能有点改变。

API网关将是一个灵活且高度可配置的解决方案。我测试并使用了KONG，非常喜欢我所看到的。KONG提供了自己的管理REST API，您可以使用它来管理用户。

Express-gateway.io是最新的，也是一个API网关。

这些答案中的每个人都忽略了真正的访问控制/授权。

例如，如果您的RESTAPI/web服务是关于发布/获取病历的，那么您可能需要定义访问控制策略，以确定谁可以访问数据以及在什么情况下访问数据。例如：

医生可以获取与他们有护理关系的患者的病历任何人都不能在练习时间之外（例如9到5）发布医疗数据最终用户可以获得他们拥有的病历或他们作为监护人的患者的病历护士可以更新与护士属于同一单位的患者的病历。

为了定义和实现这些细粒度授权，您需要使用一种基于属性的访问控制语言XACML，即可扩展访问控制标记语言。

其他标准如下：

OAuth:id。联合和授权委托，例如让一个服务代表我的另一个服务（Facebook可以发布到我的Twitter）SAML：身份联合/web SSO。SAML非常关注用户是谁。WS-Security/WS-*标准：这些标准关注SOAP服务之间的通信。它们特定于应用程序级消息传递格式（SOAP），它们处理消息传递的各个方面，例如可靠性、安全性、机密性、完整性、原子性、事件。。。没有一个涉及访问控制，所有都是特定于SOAP的。

XACML是技术不可知的。它可以应用于java应用程序、.NET、Python、Ruby。。。web服务、REST API等。

以下是有趣的资源：

OASIS XACML网站NIST ABAC标准

我使用了OAuth几次，也使用了一些其他方法（BASIC/DIGEST）。我衷心建议OAuth。以下链接是我见过的关于使用OAuth的最佳教程：

http://hueniverse.com/oauth/guide/