Restful与java安全性

我必须保护我的restful web服务，这样，如果任何人都能获得我的restful web服务的uri，那么在该uri的帮助下，任何人都不能访问我的restful web服务。我想设计一个RESTfulWeb服务，这样只有运行在不同服务器上的动态web应用程序才能访问RESTfulWeb服务。 我通过设置身份验证头来实现这一点，我将用户的用户名放在身份验证头中，在restful web服务中，我从数据库中检查这些值，这就像会话管理，我不知道这是否是一种好的方法，因为我们不应该在restful web服务中提到会话

第二件事是，我在身份验证头中放入了一些编码字符串，我们还将在restful web服务的过滤器中检查这些值，为了防止第三方攻击，这种方法好吗，如果不好，你能告诉我好的方法吗，

---

谢谢

如果您真的想保存，请使用服务器和客户端SSL证书，每个客户端都应该有自己的证书供服务器检查。Restful服务器应该能够检查客户端证书

如果您使用Tomcat，下面是一个操作方法：

---

谢谢，您能否告诉我，如果我在tomcat服务器上运行的web应用程序（比如应用程序A）可以使用服务器和客户端SSL证书访问我在glassfish上运行的restful web服务。这将保护我的REST Web服务不受第三方的影响，但您能否告诉我，如果我的应用程序A是为公共而创建的，而REST Web服务仅为应用程序A而创建的。在这种情况下，它将工作？？。简言之，应用程序A对所有用途都是开放的，但Restful weservices只能由我的应用程序A访问。如果A是Rest客户端，B（Glassfish）是Rest服务器，则只能保护该连接。A仍然可以在没有ssl的情况下访问，因为只有B需要客户端证书。