谢谢你的忠告。我们最终使用了一个定制的HTTP头将身份令牌从客户端传递给服务，为将RESTful API和微软即将推出的Zermatt identity框架集成做准备。我已经在这里描述了问题和我们的解决方案。我还采纳了tweet的建议，购买了RESTfulWebServices——如果你正在构建任何类型的RESTfulAPI，这是一本非常好的书。

我遇到过的关于REST安全性的最好的帖子之一是1 RainDrop。MySpace API也使用OAuth进行安全保护，您可以完全访问RestChess代码中的自定义频道，我对此进行了大量探索。这是在Mix演示的，你可以在这里找到帖子。

我推荐OAuth 2/3。更多信息请访问http://oauth.net/2/

谢谢你的忠告。我们最终使用了一个定制的HTTP头将身份令牌从客户端传递给服务，为将RESTful API和微软即将推出的Zermatt identity框架集成做准备。我已经在这里描述了问题和我们的解决方案。我还采纳了tweet的建议，购买了RESTfulWebServices——如果你正在构建任何类型的RESTfulAPI，这是一本非常好的书。

我搜索了很多关于restful ws安全性的信息，最后我们通过cookie在客户端到服务器之间使用令牌来验证请求。我使用spring安全性来授权服务中的请求，因为我必须根据DB中已经存在的指定安全策略来验证和授权每个请求。

SOAP世界被安全标准覆盖得很好，这并不意味着默认情况下它是安全的。首先，标准非常复杂。复杂性不是安全性的好朋友，实现漏洞（如XML签名包装攻击）在这里很常见。

至于.NET环境，我不会有太大帮助，但“用Java构建web服务”（一个有约10位作者的砖）确实帮助我理解了WS-*安全体系结构，尤其是它的怪癖。