我执行与播放一个REST API ...我知道一个REST API应该是无状态的。 好了，我的API是一个混合体，在这个意义上，当用户进行身份验证，我发回一个令牌来签署任何后续请求。 在服务器端，我使用MongoDB的收集处理活动的令牌 - 该令牌的时候用户不再发送请求到服务器的数量后过期。

现在的问题是：我应该如何处理这个令牌？ 如果请求包含在体内的令牌？ 或者我应该提供的请求头令牌？

考虑到我使用的播放，它仍然是正确的使用RequestHeader.cookies发送，即使我真的不使用cookies令牌？

关于如何实现我的REST API一个体面的身份验证机制，任何建议将非常感激。

TLDR：你应该使用cookie。

存储在用户的cookie标记通常是最好的一段路要走。 饼干获得通过，以经由头的每个请求的服务器，因此在创建自己的实现通过某种机制，保持用头令牌将是一个很大的冗余工作（和提高的东西会打破的机会）保持的状态。 仅仅因为你的客户端保持状态并不意味着这是个坏......无国籍规划的整体思路是，当你负荷N台机器平衡的是，你不担心给定用户的请求报路由。

您不妨来看看下面这个例子应用程序，我写道： https://github.com/kaeawc/play-encryption

如果你想了解更多有关的主题，我建议这是一个很好的引导作用： 权威指南，形成基于网站验证