REST本身没有提供安全标准，但OAuth和SAML等东西正在迅速成为这个领域的标准。然而，身份验证和授权只是您需要考虑的一小部分。与web应用程序相关的许多已知漏洞非常适用于REST API。你必须考虑输入验证、会话破解、不适当的错误消息、内部员工漏洞等等。这是一个很大的问题。

我使用了OAuth几次，也使用了一些其他方法（BASIC/DIGEST）。我衷心建议OAuth。以下链接是我见过的关于使用OAuth的最佳教程：

http://hueniverse.com/oauth/guide/

REST本身没有提供安全标准，但OAuth和SAML等东西正在迅速成为这个领域的标准。然而，身份验证和授权只是您需要考虑的一小部分。与web应用程序相关的许多已知漏洞非常适用于REST API。你必须考虑输入验证、会话破解、不适当的错误消息、内部员工漏洞等等。这是一个很大的问题。

对于Web应用程序安全，您应该看看OWASP(https://www.owasp.org/index.php/Main_Page)它为各种安全攻击提供了欺骗单。您可以采用尽可能多的措施来保护您的应用程序。关于API安全（授权、身份验证、身份管理），有多种方式（基本、摘要和OAuth）。OAuth1.0中存在循环漏洞，因此可以使用OAuth1.0a（由于对规范的担忧，OAuth2.0没有被广泛采用）

您可能还想看看OAuth，这是一种新兴的基于令牌的授权开放协议，专门针对http api。

它与flickr所采用的方法非常相似，并记住牛奶“rest”api（不一定是restful api的好例子，而是基于令牌的方法的好例子）。

因为@Nathan最后得到了一个简单的HTTP Header，有些人说OAuth2和客户端SSL证书。其要点是。。。您的RESTAPI不应该处理安全性，因为这确实超出了API的范围。

相反，无论是web代理后面的HTTP头（一种常见的方法，如SiteMinder、Zermatt甚至Apache HTTPd），还是像OAuth 2一样复杂，都应该在其上面设置一个安全层。

关键是请求应该在没有任何最终用户交互的情况下工作。所需要的就是确保与RESTAPI的连接经过身份验证。在JavaEE中，我们有一个userPrincipal的概念，它可以在HttpServletRequest上获得。它也在部署描述符中管理，URL模式可以是安全的，因此RESTAPI代码不再需要检查。

在WCF世界中，我将使用ServiceSecurityContext.Current获取当前安全上下文。您需要将应用程序配置为需要身份验证。

我上面的声明有一个例外，那就是使用随机数来防止重放（可能是攻击，也可能是某人提交了两次相同的数据）。该部分只能在应用程序层中处理。