REST上的身份验证令牌

我刚刚开始在.NET中开发我的第一个REST API。由于它将是无状态的，我将使用令牌进行身份验证： 基本思想（System.Security.Cryptography）： null 检查凭据是否有效（用户名，将哈希密码与db值进行比较） 如果为真，则加密数据对象 对生成的令牌使用HMAC，并将其存储到数据库 将令牌（不带HMAC）返回给用户（cookie/字符串） 对需要身份验证的方法的请求：

问题内容： 使用REST Web服务时，在每次发出请求时都使用身份验证令牌，而不是通过HTTPS /加密发送用户名和密码，这有什么价值？ 我知道，例如OAUTH具有一些好处，因为您不需要向第三方透露密码，您可以将令牌传递给您不想共享用户名/密码的受信任的第三方。 但是除了我在我的情况下当然不需要的特殊好处之外，为什么我还是使用令牌而不是每次发送用户名/密码。 这可能使客户的生活变得轻松，并且不必每

问题内容： 在使用Java EE 6的Web应用程序上，我想将某些功能作为Json Rest Service公开。我想使用身份验证令牌进行登录，用户将发送其用户名，密码，服务器将发送回令牌，该令牌将用于授权用户在给定时间内的进一步请求。 到目前为止，有几个问题困扰着我； 当服务器创建令牌并将其发送给客户端时，服务器是否应该使用像哈希表这样的东西作为用户ID令牌对将其保存在DB或Bean中？ 我可以

我正在使用C#实现一个REST web服务，它将作为云服务托管在Azure上。因为它是一个REST服务，所以它是无状态的，因此没有cookie或会话状态。 Web服务只能通过HTTPS（由StartSSL. com提供的证书）访问。 用户成功登录服务后，他们将获得一个安全令牌。该令牌将在未来的通信中提供身份验证。 令牌将包含客户端的时间戳、用户ID和ip地址。 所有通信都只能通过HTTPS进行，所

我有一个LaravelAPI（实际上是LumenAPI）服务于VueJS前端。Vue应用程序允许用户登录到谷歌。然后将Google令牌发送回Lumen API，后者使用Google验证令牌，然后验证电子邮件地址是否为有效用户。然后它生成一个令牌，与用户一起存储在数据库中，并返回用户对象。 我没有使用Passport或jwt auth之类的东西。那么现在，我如何使用默认的Auth中间件来验证（现在已

问题内容： 我正在开发一个使用Jersey框架的REST应用程序。我想知道如何控制用户身份验证。我搜索了很多地方，最近的文章是：http : //weblogs.java.net/blog/2008/03/07/authentication- jersey 。 但是，本文只能与GlassFish服务器和附加数据库一起使用。无论如何，在到达请求的REST资源之前，我是否可以在Jersey中实现一个接