我搜索了很多关于restful ws安全性的信息，最后我们通过cookie在客户端到服务器之间使用令牌来验证请求。我使用spring安全性来授权服务中的请求，因为我必须根据DB中已经存在的指定安全策略来验证和授权每个请求。

对于Web应用程序安全，您应该看看OWASP(https://www.owasp.org/index.php/Main_Page)它为各种安全攻击提供了欺骗单。您可以采用尽可能多的措施来保护您的应用程序。关于API安全（授权、身份验证、身份管理），有多种方式（基本、摘要和OAuth）。OAuth1.0中存在循环漏洞，因此可以使用OAuth1.0a（由于对规范的担忧，OAuth2.0没有被广泛采用）

SOAP世界被安全标准覆盖得很好，这并不意味着默认情况下它是安全的。首先，标准非常复杂。复杂性不是安全性的好朋友，实现漏洞（如XML签名包装攻击）在这里很常见。

至于.NET环境，我不会有太大帮助，但“用Java构建web服务”（一个有约10位作者的砖）确实帮助我理解了WS-*安全体系结构，尤其是它的怪癖。

除了HTTP之外，没有其他REST标准。已经建立了REST服务。我建议你看一眼它们，感受一下它们是如何工作的。

例如，在开发自己的服务时，我们借鉴了亚马逊S3 REST服务的许多想法。但我们选择不使用基于请求签名的更高级的安全模型。更简单的方法是通过SSL进行HTTP基本身份验证。你必须决定什么最适合你的情况。

此外，我强烈推荐O'reilly的《RESTful Web Services》一书。它解释了核心概念，并提供了一些最佳实践。您通常可以使用他们提供的模型并将其映射到您自己的应用程序。

我搜索了很多关于restful ws安全性的信息，最后我们通过cookie在客户端到服务器之间使用令牌来验证请求。我使用spring安全性来授权服务中的请求，因为我必须根据DB中已经存在的指定安全策略来验证和授权每个请求。

我有点惊讶的是，还没有提到带有客户端证书的SSL。当然，只有当您能够依靠证书识别用户群体时，这种方法才真正有用。但许多政府/公司确实向其用户发放了这些证书。用户不必担心创建另一个用户名/密码组合，并且在每个连接上都建立了身份，因此与服务器的通信可以完全无状态，不需要用户会话。（并非意味着所提及的任何/所有其他解决方案都需要会议）