Веб-сервисы должны быть без сохранения состояния. Поэтому, если вы планируете использовать «сеанс» для аутентификации, вы можете рассмотреть следующий подход:
- Определить API аутентификации, который возвращает некоторый ключ / токен, с которым сервер может идентифицировать пользователя при последовательных вызовах
- Клиент должен сначала вызвать API аутентификации
- Клиент должен передать ключ аутентификации при любом последовательном вызове в форме параметра API или
пользовательский заголовок http.
Вы можете взглянуть на eBay API , они используют как заголовки http, так и параметры метода.
Вы должны помнить, что, если вы планировали использовать сеанс для хранения состояния, в кластерной среде вам нужно решить ряд проблем, поскольку один клиент может обслуживаться разными узлами.