REST API如何知道用户是否已登录？

Question

我通过开发一个单独的REST API服务器和一个Web应用程序服务器来创建一个'API as a service'，它只是提供一个使用REST API的网站。网络应用充当API的客户端。该Web应用程序是一个简单的仪表板，允许用户登录并查看其API使用情况并查看其API密钥和密钥，以便他们可以安全地访问该API。

我打算使用类似AWS的共享密钥来使API的客户端能够访问受保护的资源。

但是，有一点我很困惑的是，用户登录到仪表板网站时，是否应该由REST API或Web应用程序服务器来处理。

如果要由REST API端点处理，那么API服务器如何在请求之间维护会话状态。 API如何知道用户是否登录？在API服务器上存储会话状态是否可行，即使它应该是无状态的。像twitter这样的其他类似休息的API如何做到这一点？

Answer 1

ReSTful安全处理服务器端;基本上是：

• 当客户端请求的资源没有被验证
• 每一位客户的呼叫都通过WWW身份验证头
• 这个头可以储存客户端提供身份验证服务器返回401个状态码 - 成功登录后在cookie中登入

您会在该书中找到有关该问题的极大帮助：ReSTful WebServices Cookbook。寻找关于基本/摘要认证的解释。

这里是a good introduction与一个活的工作样本。