Я недавно написал свой первый RESTful сервис.Я использовал обычную аутентификацию вместе с HTTPS.Это означает, что любой ресурс, который, по моему мнению, требует аутентификации, отклонял любой запрос с ответом 401 (неавторизованный), когда заголовок Auth отсутствовал или не содержал допустимых учетных данных.
Нет необходимости в отдельном ресурсе для управления доступом.
Сказав все это, я с готовностью признаю, что я не гуру ОТДЫХА или гуру безопасности.Так что могут быть и другие способы справиться с этим, но этот способ мне подходит.
Существует много разных способов реализации безопасности в службе RESTful, и нет черно-белых правильных / неправильных способов,только то, что подходит лучше всего.Я слышал о людях, использующих аутентификацию на основе токенов, и есть также OAuth, к которому я буду перемещать свой сервис в будущем.Ну все равно OAuth2.