web-services – RESTful Web服务中的身份验证

我正在构建一个基于Spring的宁静Web服务.我正在使用Spring Security.它只能由桌面应用程序访问.基本上是机器到机器的Web服务.

>我想要一个进行身份验证的自定义服务.然后根据身份验证的结果执行其他更敏感的操作.
>另一种选择是在每个请求的正文中发送凭据,并且每次都基本上进行身份验证.

Logic说第一种方法效率最高,因为每次验证都有相当多的开销.

你有什么建议与此有关？去无国籍或有状态？有状态方法是否存在主要缺点？

到目前为止,我阅读了Java Web Services Up and Running的一些章节
以及来自SO的几个问题,如this.