方法としては幾つか考えられますが、大きくは3つ
GET /api HTTP/1.1
Host: www.hogehoge.org
Authorization: Basic ABcdeFGhijklMNOpQRSTUvWxYX==
https://tools.ietf.org/html/rfc7235
GET /api HTTP/1.1
Host: www.hogehoge.org
Cookie: SessionID=abcdefghijklmn; Permission=hoge
https://tools.ietf.org/html/rfc6265
GET /api HTTP/1.1
Host: www.hogehoge.org
Authorization: Bearer ab_cd.EfG-H.IJkL
https://tools.ietf.org/html/rfc6750
があります。
Cookieを使うことは「ステートレスか?」と言われると???ですが・・。
現状の主流は Bearer Tokenを使う方法ではないでしょうか。
更に、Bearer Tokenの場合のTokenの発行方法としては
- ユーザの管理ページ(WEB上)でTokenを発行する
- OAuthにて認証を行い、Tokenを発行する
が考えられます。
また、Tokenに署名を施す Json Web Token(JWT) という規格もありますので
https://tools.ietf.org/html/draft-ietf-oauth-json-web-token-32
参考にしてみたらいかがでしょうか。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。