OWASP（开放Web应用程序安全项目）有一些涉及Web应用程序开发各个方面的备忘单。本项目是非常有价值和可靠的信息来源。关于REST服务，您可以检查：https://www.owasp.org/index.php/REST_Security_Cheat_Sheet

因为@Nathan最后得到了一个简单的HTTP Header，有些人说OAuth2和客户端SSL证书。其要点是。。。您的RESTAPI不应该处理安全性，因为这确实超出了API的范围。

相反，无论是web代理后面的HTTP头（一种常见的方法，如SiteMinder、Zermatt甚至Apache HTTPd），还是像OAuth 2一样复杂，都应该在其上面设置一个安全层。

关键是请求应该在没有任何最终用户交互的情况下工作。所需要的就是确保与RESTAPI的连接经过身份验证。在JavaEE中，我们有一个userPrincipal的概念，它可以在HttpServletRequest上获得。它也在部署描述符中管理，URL模式可以是安全的，因此RESTAPI代码不再需要检查。

在WCF世界中，我将使用ServiceSecurityContext.Current获取当前安全上下文。您需要将应用程序配置为需要身份验证。

我上面的声明有一个例外，那就是使用随机数来防止重放（可能是攻击，也可能是某人提交了两次相同的数据）。该部分只能在应用程序层中处理。

我推荐OAuth 2/3。更多信息请访问http://oauth.net/2/

SOAP世界被安全标准覆盖得很好，这并不意味着默认情况下它是安全的。首先，标准非常复杂。复杂性不是安全性的好朋友，实现漏洞（如XML签名包装攻击）在这里很常见。

至于.NET环境，我不会有太大帮助，但“用Java构建web服务”（一个有约10位作者的砖）确实帮助我理解了WS-*安全体系结构，尤其是它的怪癖。

我使用了OAuth几次，也使用了一些其他方法（BASIC/DIGEST）。我衷心建议OAuth。以下链接是我见过的关于使用OAuth的最佳教程：

http://hueniverse.com/oauth/guide/

这已经有一段时间了，但这个问题仍然相关，尽管答案可能有点改变。

API网关将是一个灵活且高度可配置的解决方案。我测试并使用了KONG，非常喜欢我所看到的。KONG提供了自己的管理REST API，您可以使用它来管理用户。

Express-gateway.io是最新的，也是一个API网关。