单页应用程序中用户的身份验证？

我见过的最符合RESTful标准的方法是基于OAuth客户端凭据流，基本上是一个/token端点，你可以向它发送用户名/密码，它将返回此会话的访问令牌。 每个ajax请求之后都附加一个带有该令牌的Authorization承载头。您可以将令牌存储在全局变量中，以便直到刷新/关闭页面之前保留它，使用本地存储在会话之间使用户保持登录状态，或者使用JavaScript cookie。如果您不喜欢令牌的想法，那么您可以只使用旧式cookie方法，因为无论如何，它都会自动发送到任何ajax请求中。
至于Facebook / Google等，我通常遵循stackoverflow的方法，将外部用户登录与帐户关联起来。 然后使用一个相当普通的基于服务器的oauth操作（虽然您可以通过轻微修改将所有对服务器的请求替换为ajax请求，但我发现这并没有什么区别，因为您仍然需要在您和服务器之间进行重定向）。 我通常为Facebook登录发出加密cookie，然后使用类似上述方法将其转换为令牌（只需将cookie与请求一起发送，而不是用户名/密码）。

我们使用django基于cookie的身份验证，并为登录和单页面应用程序拥有一个单独的页面。对于我们的使用情况来说，效果非常好。我们使用了一种基于Backbone的会话管理系统，我在这里描述了它：backbone.js - handling if a user is logged in or not

我们正在使用Angular.js，并且为登录设置了单独的页面。该单独的页面加载一个单独的、安全的应用程序，通过http XHR请求调用服务器并发送用户名和密码。如果服务器验证了凭据，JavaScript代码将设置一个cookie。这个cookie可以从“另一侧”读取，也就是非安全应用程序。在cookie中，我们只放置用户名，而不是密码或其他安全信息。然后我们可以在非安全应用程序中显示类似“不是Lior吗？注销”的内容。
需要注意的是，要覆盖Angular的cookie机制以设置无限期到期和最重要的根路径。

$document[0].cookie = 'username=' + escape($scope.userName) + ";expires=Thu, 01 Jan 2970 00:00:00 GMT; Path=/";