Java 重新启动请求的身份验证

我最近开始学习RESTfulAPI。然而，我已经停止了关于会话的讨论。我担心的是，如果我使用Restful，根据我的理解，我不应该进行会话。现在，作为一个例子，假设在我的应用程序中有某些操作需要用户首先登录。服务器将如何验证用户是否在不维护任何会话的情况下登录？Facebook是如何做到这一点的？对于每个请求，在获取敏感信息的情况下，它不检查用户是否已登录吗？我无法理解这一点。

有很多可能的策略。例如，您可以有一个生成令牌的身份验证进程，然后您要求将该令牌与每个需要凭据的API请求一起发送（在自定义头中。在查询字符串中或在cookie中，cookie只是头的另一种形式），并且服务器有一定的能力验证该令牌（通常使用某种加密操作）无需维护任何重量级会话。没错！谢谢！