Обычное эмпирическое правило с API-интерфейсами REST состоит в том, чтобы они оставались полностью не сохраняющими состояние, однако, как и в случае Перейти к , есть время и место в зависимости от ваших требований.Если вы не против того, чтобы клиент хранил временный сеансовый ключ, который вам нужно только периодически восстанавливать, то вы можете попробовать это.
Когда клиент делает запрос, проверьте, отправляют ли они переменную сеансового ключа вместе с идентификатором пользователя и паролем.Если это не так, создайте его на основе текущего времени сервера и его пароля, а затем передайте его обратно клиенту.Сохраните его в своей базе данных вместе со временем его создания.Затем, когда клиент делает запрос, включающий ключ сеанса, вы можете проверить его, непосредственно сравнив его с ключом сеанса, хранящимся в вашей базе данных, без необходимости хеширования.Пока вы аннулируете ключ каждые несколько часов, это не должно быть проблемой безопасности.С другой стороны, если вы в настоящее время отправляете пароль и идентификатор пользователя в открытом виде, у вас уже есть проблемы с безопасностью.