我想在REST api之上创建一个轻量级的webapp,用户应该只对其进行一次身份验证,从那时起,所有针对web api的请求都希望通过以某种方式保持用户名和密码来完成.

我已经制作了一个工作原型,如果对REST api的第一个请求成功,我将用户名和密码存储在会话变量中,每个请求都是从会话变量获取的auth信息.到现在为止还挺好.

通过这种方法,我意识到有权访问服务器的人将能够读取密码.在PHP中是否有某种方法可以使用适当的安全性来遵循我的方法？

更新一些更多细节：

这里的预期目标是基于使用不同的数据查询而不是让用户为每次尝试输入他的用户名和密码来对从API检索的数据进行可视化.所以API完全是无状态的,但带有gui的web应用程序应该是有状态的.

在这种情况下,我无法控制Rest API,因此每个请求都将始终要求使用基本身份验证发送API用户名和密码,没有其他方案,如API密钥,会话令牌或类似的东西.这就是为什么我必须在用户会话持续时保留用户名和密码,并且我想知道将它们存储在会话变量中的方法是否可以被认为是安全的.