セッションはREST認証に使用されますか？

Question

ご不便をおかけして申し訳ありませんが、これは初めてRESTインターフェイス（PHP）を実装しようとしています。とにかく、HTTPプロトコルのステートレスので、それを確実にするために、ベストプラクティス何：

GET/ /user/{id}/friends 

は、常に唯一の現在の認証されたユーザによって実行されますか？セッションは、通常、RESTアクセスを制限する方法として使用されますか？

Answer 1

HTTPセッションを使用できます.HTTPセッションは、サーバー側のCookie以外には使用できません。彼らは大丈夫ですが、最近、セッションハイジャックの報告がたくさんあります。だから私の答えは本当にこれについて心配している場合はHMACを使用することです。セットアップが難しいですが、いったんメッセージが本当に認証されたユーザーから来たものであることが確認できたら、