Rest 休息+；HTTP基本身份验证-是否需要执行用户查找每个请求？

我正在为我的web应用程序制作一个RESTAPI，因为它应该是无状态的，所以我正在使用HTTP Basic Auth发送用户的凭据

---

我需要通过在我的用户数据库中查找来验证每个请求的用户名/密码是否正确？这似乎是很多不必要的请求，因为如果我违反了“无状态规则”，我可以验证它一次，并将其保留在会话中。

如果您不使用会话cookies进行身份验证，则需要验证每个请求。但是您可以将凭据缓存在服务器代码中的某个位置，这样就不需要在每次调用时查询数据库

---

基本上，您应该记住不要将数据存储太长，例如，用户可以更改其凭据。如果缓存不匹配，则需要进行另一次数据库查找。

您可以保留用户名/密码的全局缓存，用于验证凭据。您的请求仍然是无状态的，但与在每个请求中仅针对数据库（或其他源）来验证用户相比，您将获得更好的性能

---

另一个选项是创建一个登录方法，在其中返回加密的身份验证令牌。之后，其他所有方法都会使用该令牌，并验证该令牌而不是密码。这种方法还允许您使用不同的身份验证机制，而不仅仅是http basic。

哪种是您的服务器端技术？您希望每秒有多少用户？