问我是否应该将其余的会话与应用程序其余部分中的会话分开？

EN

假设我有资源，我在我的web应用程序和REST中使用用户名+密码登录限制访问。我是否应该保留不同的会话，这意味着通过web UI登录不会授予通过REST访问资源的权限，反之亦然？用户名和密码组合将是相同的。

Afaik如果通过一个登录授予对这两者的访问权限，那么至少当登录通过REST时，我仍然能够强制执行高级REST身份验证方法，比如HMAC。

具体的应用程序是用Java技术实现的，特别是Java，它有意或无意地将JSF和REST会话分离开来，但是，很容易克服这种分离。