Коллеги всем привет кого не видел.

Делаю веб сервисы. По большому счету проблем не имею.
Но как то смущаюсь по поводу механизма реализации системы авторизации.

Классически в браузере мы посылаем на сервер пользователя/пароль и получаем куку с сессией и отсюда и пляшем.

Но для WebService куки вообще применимо ли ?
То бишь как делать авторизацию то, не слать же пароль в каждом запросе.

Как оно принято то ?

Нет конечно. Это плохо и непрактично.


Долбить запросами при каждом удобном случае. А лучше сразу два запроса!

Ну что за глупые вопросы? Вы хотите узнать безопасно ли хранить пароль в чистом виде у кукисах? Что Вы именно хотите узнать? И что именно Вы имеете ввиду под WebService?

Web SSO (wiki)

?

WebService есть программа живущая на сервере и предоставляющая иным программам (клиентам) живущим где попало различные сервисы (например получение некоторого XML) используя протокол http или https.

Я хочу узнать как технически (как правильно) осуществить авторизацию клиента.
(Добавление)


Вроде как не то

тов. Eugen вам кинул ссылку.
Вы не указали ни по каком протоколу организован сервис, ни критичность безопасности и необходимость строжайшей проверки пользователя при вызове каждой функции интерфейса сервиса.
Иными словами, как и всегда, - все зависит от конкретной задачи.

В сервисе для которого безопасность критична, с клиента, как правило, с вызовом функции интерфейса приходит объект с логином и паролем (пример на SOAP):