我想知道关于如何使用授权的RESTful服务器的最佳实践是什么。

假设登录后服务器向我提供了令牌，然后对于每个请求，我也必须提供它。我的问题是：我应该在服务器的会话中保存此令牌吗？还是应该针对每个请求针对数据库进行身份验证？

有几种方法。您只能将其保留在内存中，但是如果群集中有多个服务器，则必须确保对给定令牌的请求始终发送到同一服务器，或者在所有服务器之间分发令牌。

您还可以对令牌数据进行加密签名，在令牌中包含数据和签名，并在每次请求时验证签名。这样，您可以确定令牌已由您发行，并且您可以完全无状态。

请注意，如果您已经在使用HTTP会话，则令牌是多余的，因为会话机制已经在cookie中使用令牌来跟踪会话。