我搜索了很多关于restful ws安全性的信息，最后我们通过cookie在客户端到服务器之间使用令牌来验证请求。我使用spring安全性来授权服务中的请求，因为我必须根据DB中已经存在的指定安全策略来验证和授权每个请求。

您可能还想看看OAuth，这是一种新兴的基于令牌的授权开放协议，专门针对http api。

它与flickr所采用的方法非常相似，并记住牛奶“rest”api（不一定是restful api的好例子，而是基于令牌的方法的好例子）。

我遇到过的关于REST安全性的最好的帖子之一是1 RainDrop。MySpace API也使用OAuth进行安全保护，您可以完全访问RestChess代码中的自定义频道，我对此进行了大量探索。这是在Mix演示的，你可以在这里找到帖子。

我使用了OAuth几次，也使用了一些其他方法（BASIC/DIGEST）。我衷心建议OAuth。以下链接是我见过的关于使用OAuth的最佳教程：

http://hueniverse.com/oauth/guide/

我想添加（与臭马特一致），最简单的解决方案是将SSL证书添加到您的站点。换句话说，确保您的url是HTTPS://。这将保障你的交通安全（一掷千金）。使用RESTfulurl，想法是保持它的简单性（不像WS*security/SAML），您可以使用oAuth2/openID连接，甚至可以使用Basic Auth（在简单的情况下）。但您仍然需要SSL/HTTPS。请在此处检查ASP.NET Web API 2安全性：http://www.asp.net/web-api/overview/security（文章和视频）

除了HTTP之外，没有其他REST标准。已经建立了REST服务。我建议你看一眼它们，感受一下它们是如何工作的。

例如，在开发自己的服务时，我们借鉴了亚马逊S3 REST服务的许多想法。但我们选择不使用基于请求签名的更高级的安全模型。更简单的方法是通过SSL进行HTTP基本身份验证。你必须决定什么最适合你的情况。

此外，我强烈推荐O'reilly的《RESTful Web Services》一书。它解释了核心概念，并提供了一些最佳实践。您通常可以使用他们提供的模型并将其映射到您自己的应用程序。