web-applications – 用户如何保持登录基于REST的网站？

Okay,I get that HTTP authentication is done automatically on every message – but how? Is the username/password sent with every request? Doesn’t that just increase attack surface area? I feel like I’m missing part of the puzzle.

我收到的答案在移动(iPhone,Android,WP7)应用程序的上下文中非常有意义 – 在与REST服务交谈时,应用程序只会发送用户凭据以及每个请求.这对我很有用.

但是现在,我想更好地理解如何保护类似REST的网站,比如StackOverflow本身或像Reddit这样的东西.如果是用户通过网络浏览器登录而不是通过iPhone应用程序登录,情况会怎样？

>用户登录时会发生什么？凭据是否以某种方式保存在浏览器中？
>浏览器如何知道随后的REST请求要发送哪些凭据？
>如果是对Web服务的JavaScript调用怎么办？ JavaScript调用如何包含用户凭据？

我会坦率地说：我对网站安全性的理解非常有限,我不是网络开发人员(Damnit Jim,我是桌面开发人员！).我喜欢从应用程序角度使用REST服务,但现在我想尝试构建一个基于REST原则的网站,我发现自己很丢失.

如果上述问题中有任何内容不清楚您是否希望我澄清,请发表评论,我会解决.