Прежде всего, убедитесь, что вы используете en HMAC , а не обычный SHA-256 для генерации "дайджеста безопасности".
Далее, что вы собираетесь поместить на вход этого дайджеста? Вы захотите иметь хотя бы метод, URI, полезную нагрузку и, возможно, большинство заголовков запроса (есть много заголовков, которые влияют на значение HTTP-запроса, важного в контексте REST). Это может быть сложно в зависимости от того, какой HTTP-клиент вы используете, потому что клиент может устанавливать или изменять заголовки так, чтобы вы не управляли им напрямую.
Наконец, куда вы собираетесь поместить этот дайджест? Пользовательский заголовок (например, X-Request-Authenticator) кажется разумным, или, возможно, cookie, если клиент работает в веб-браузере.
Я бы порекомендовал использовать существующие инструменты, а не создавать что-то самостоятельно. Использование SSL уже обеспечивает защиту целостности сообщений, поэтому начните с этого. Затем, если вам просто нужно простое управление доступом, базовая аутентификация HTTP будет отлично работать с запросом REST. Или вы можете попросить клиента представить сертификат и проверить его.