正如twitt所说，AmazonS3是一个很好的模型。它们的请求签名确实具有一些特性（如包含时间戳），有助于防止意外和恶意请求重放。

HTTP Basic的优点是几乎所有的HTTP库都支持它。当然，在这种情况下，您需要使用SSL，因为通过网络发送明文密码几乎是一件普遍的坏事。使用SSL时，Basic比Digest更好，因为即使调用方已经知道需要凭据，Digest也需要额外的往返来交换nonce值。使用Basic，调用者只需在第一次发送凭证。

一旦确定了客户机的身份，授权实际上只是一个实现问题。但是，您可以将授权委托给具有现有授权模型的其他组件。同样，Basic的好处是，您的服务器最终提供了客户端密码的明文副本，您可以根据需要将其传递给基础架构中的另一个组件。

我搜索了很多关于restful ws安全性的信息，最后我们通过cookie在客户端到服务器之间使用令牌来验证请求。我使用spring安全性来授权服务中的请求，因为我必须根据DB中已经存在的指定安全策略来验证和授权每个请求。

我使用了OAuth几次，也使用了一些其他方法（BASIC/DIGEST）。我衷心建议OAuth。以下链接是我见过的关于使用OAuth的最佳教程：

http://hueniverse.com/oauth/guide/

我遇到过的关于REST安全性的最好的帖子之一是1 RainDrop。MySpace API也使用OAuth进行安全保护，您可以完全访问RestChess代码中的自定义频道，我对此进行了大量探索。这是在Mix演示的，你可以在这里找到帖子。

这已经有一段时间了，但这个问题仍然相关，尽管答案可能有点改变。

API网关将是一个灵活且高度可配置的解决方案。我测试并使用了KONG，非常喜欢我所看到的。KONG提供了自己的管理REST API，您可以使用它来管理用户。

Express-gateway.io是最新的，也是一个API网关。

SOAP世界被安全标准覆盖得很好，这并不意味着默认情况下它是安全的。首先，标准非常复杂。复杂性不是安全性的好朋友，实现漏洞（如XML签名包装攻击）在这里很常见。

至于.NET环境，我不会有太大帮助，但“用Java构建web服务”（一个有约10位作者的砖）确实帮助我理解了WS-*安全体系结构，尤其是它的怪癖。