Gibt es beim Entwurf einer REST-API oder eines Dienstes bewährte Verfahren für den Umgang mit der Sicherheit (Authentifizierung, Autorisierung, Identitätsmanagement)?
Beim Aufbau einer SOAP-API dient WS-Security als Leitfaden, und es gibt viel Literatur zu diesem Thema. Ich habe weniger Informationen über die Sicherung von REST-Endpunkten gefunden.
Mir ist klar, dass es für REST absichtlich keine Spezifikationen gibt, die mit WS-* vergleichbar sind, aber ich hoffe, dass sich bewährte Verfahren oder empfohlene Muster herausgebildet haben.
Für eine Diskussion oder Links zu einschlägigen Dokumenten wäre ich sehr dankbar. Wenn es darauf ankommt, würden wir WCF mit POX/JSON serialisierten Nachrichten für unsere REST APIs/Services verwenden, die mit v3.5 des .NET Frameworks erstellt wurden.
