标签: web-services rest authentication authorization
当我编写需要身份验证的Web服务时,我通常需要在两个选项中进行选择:
我可以使用专用的身份验证调用来创建会话。所有后续调用都通过cookie进行身份验证。这正是您在经典网站中进行身份验证的方式。这不难写,但不是无国籍。
我可以在每个请求上发送身份验证信息(例如凭据,令牌等)。这种方式是无国籍的,但是有更多的开销。
您是否应该采用哪种方式建议最佳做法?为什么呢?