authがすでに完了しているWebアプリケーションからの認証

Question

認証後にユーザーがログインできるWebアプリケーションがあります（ユーザー+パスワード）。いくつかのRESTサービスが存在し、Webアプリケーションから呼び出す別のアプリケーションがあります。

ユーザーがすでにWebアプリケーションに認証されているように私は次のシナリオは、仕事ができると思った： でたときにユーザーがログイン

1. がWebアプリで（その中に有効期限付き）トークンを作成します
3. このトークンは、HTTPヘッダに置くことができるRESTサービスを呼び出す場合、それはトークンがあるかどうかをチェックするために、Webアプリケーションへのコールバックしなければならないことを知っているように、RESTは、ヘッダー内のこの特別なトークンがあることがわかります有効
4. ウェブアプリケーションは、トークンが有効ではありませんが、その後

が、私はそこに知っているHTTPエラーコードで検索する場合は、RESTサービスは、HTTP動詞（GET、PUT、など）

を実行できる有効な場合は、トークン

を拒否あなたはそれが動作することができると思いますなど同じことを行いますが、シナリオが不要なインフラストラクチャーを追加することなく、それを実装するのに十分なシンプルに見えます（OAuthのような）いくつかすでに実装された認証プロトコル、

ですか？それは私が注意を払うべきことができますか？
なぜそれはできないのですか？代わりに何をお勧めしますか？

多くの質問に申し訳ありません！ ：） 助けてくれてありがとう！

よろしく、 V.

Answer 1

RESTサービスアプリは、あなたのWebアプリとして同じサブドメインにあるWebアプリケーションは、認証後にセッションを使用している場合は、その理由だけで、残りのサービスアプリケーションにそれを伝播しない？場合残りのアプリで同じセッションCookieを設定するだけです。このように、認証は自動的に行われ、トークンの作成と保守のオーバーヘッドはありません。さらに重要なことは、毎回トークンを検証するためのコールバックを持たなくても、オーバーヘッドを節約し、パフォーマンスを向上させることです。私はむしろ業界に依存しているでしょう