認証が必要な Web サービスを作成する場合、通常、次の 2 つのオプションから選択する必要があります。
セッションを作成する専用の認証呼び出しを行うことができます。以降のすべての呼び出しは、Cookie を介して認証されます。これは、従来の Web サイトで認証を行う方法とまったく同じです。これを書くのは難しくありませんが、ステートレスではありません。
単一の要求ごとに認証情報 (資格情報、トークンなど) を送信できます。この方法ではステートレスですが、オーバーヘッドが増えます。
どちらに進むべきか、推奨されるベスト プラクティスはありますか? なんで?