Я создаю спокойный веб-сервис на основе Spring. Я использую Spring Security. К нему будут обращаться только десктопные приложения. По сути, это веб-служба между машинами.
Мне нужен специальный сервис для аутентификации. Затем выполните другие, более конфиденциальные операции, основанные на результатах проверки подлинности.
Другим вариантом является отправка учетных данных в теле каждого запроса и, по сути, каждый раз проверка подлинности.
Логика подсказывает, что первый подход был бы наиболее эффективным, потому что аутентификация каждый раз связана с некоторыми накладными расходами.
Что вы предлагаете в связи с этим? Стать без гражданства или без гражданства? Есть ли серьезные недостатки в подходе с отслеживанием состояния?
До этого момента я прочитал несколько глав из Java Web Services Up and Running. а также несколько вопросов от SO, таких как this.