restful api 安全问题

restful 模式是无状态的。

所以需要考虑其安全性。目前想到的主要有两种。

1、类似app/server那种，用户登录后，服务器与客户端(可以是app或者浏览器？)通过token来作为访问令牌，每一次需要保密的消息交互都采用token来加密？签名？，就类似微信公众号采用access_token来作为更改、删除操作一样。

2、采用tsl/ssl，即https来运行restful api，目前https是一种高安全性的可靠传输方式。它对传输内容加密，防止监听和中间人攻击？

3、安全级别要求更高的可以结合1和2。