认证本身应该以无状态的方式完成,以便REST范例不会被破坏.这意味着认证必须在每个请求上发生.
这个 SO question可能会提供一些进一步的细节

最重要的方法是使用HTTP-Basic AUTH(rfc2617)通过SSL加密连接(https).这里有一些java示例：

> ericonjava
> my blog entry

另一种方法是使用随机数,以便您不必每次重新发送用户/传递组合,但它们有一些更具挑战性：

> Nonce Usage

有很多方式来验证用户,但是这两个是在服务器端不保持会话状态的最常用的方式.

希望有所帮助