AJAXを使用しているときにREST APIを保護する方法は？

Question

2台のサーバーを持つSNSアプリケーションがあります。 WebバックエンドサーバーとREST APIサーバー。

1. Webサーバは、RESTのAPIサーバは/トピック/コメントのようなAPIを提供し、それはセッション
2. ずにRESTステートレスである必要があり、ユーザー名/パスワードを使用して、ユーザーのログイン/ログアウトを可能にし、ショーのユーザー情報
3. APIは他のWebアプリケーションを提供します

解決策はありますが、どちらもセキュリティはありません。

1. ベース認証、ブラウザが有効期限タイムスタンプを持つユーザー名/パスワードを
2. トークンを保持して、問題はトークンがそう

有効期限が切れるまで、ユーザーがページにとどまる可能性があり、保護する方法がありますAJAXから呼び出すときのREST API？

Answer 1

問題を正しく理解していれば、トークンソリューションの使用をお勧めします。セキュリティを維持するために、毎回のリクエストで新しいトークンを生成することができます（&）。これは、次回のリクエストに使用する必要があります。トークンが一度使用されたり期限切れになっていると、トークンを無効にします。

申し訳ありませんが、私はコメントとして言及するつもりでしたが、十分な評判はありません。