Supponendo che disponga di risorse a cui limitare l'accesso con un nome utente + password di accesso nella mia applicazione web e nella mia API REST. Devo mantenere sessioni diverse per entrambi, il che significa che un accesso tramite l'interfaccia utente web non consente l'accesso alle risorse accessibili tramite REST e viceversa? Le combinazioni di nome utente e password sarebbero le stesse.
Afaik se concedo l'accesso ad entrambi con un accesso sarei ancora in grado di applicare metodi di autenticazione REST avanzati, come HMAC , almeno quando l'accesso avviene tramite REST.
L'applicazione concreta è implementata con tecniche Java EE, in particolare Java Server Faces che separa le sessioni JSF e la sessione REST intenzionalmente o involontariamente, tuttavia è possibile superare facilmente la separazione .