你这个有点不伦不类，你说你要是面向刘浏览器，现在一般就不考虑Cookie被禁止的情况，很久之前会考虑这种情况：浏览器下Cookie被禁止的标准Session实现方式是URL重写。
再谈Resful Service的问题，标准的面向RPC的Restful Service验证实现方案是Base64的HTTP基本认证。
【 在 cn62 的大作中提到: 】
: 一个应用，大部分交互通过调用服务器端的rest api完成。
: 在session cookie工作正常的情况下，rest api应该可以方便的通过session验证用户的合法性。
: 但如果浏览器session cookie被禁止，rest api应该怎么验证用户了？
: ...................
--
修改:dhcn FROM 124.42.13.*
FROM 124.42.13.*