认证授权包含2个方面:(1)访问某个资源时必须携带用户身份信息,如:用户登录时返回用户access_token,访问资源时携带该参数.(2)检查用户是否具备访问当前资源(url或数据)的权限:访问资源时检查用户权限. 在REST架构中,access_token被定义为用户身份标识,用于对资源访问授权,只允许系统合法用户访问资源.具体来说: - 必须在每次访问时都携带access_token参数,参数位置可以位于HTTP消息头(HTTP Basic Authentication),也可放在请求参数