Estou muito confuso sobre esse problema. O serviço Restfull depende de você decidir qual caminho implementar essa funcionalidade.

Eu li vários artigos sobre esse problema, mas cada artigo diz algo diferente.

Por exemplo, algumas pessoas propõem sessões, mas se você fizer isso, a API da Web está perdendo sua "plenitude de descanso". Outras pessoas sugerem cockies.

Eu não sei se o que eu faço é realmente feito corretamente:

No login do usuário, crio um cockie que contém o UserID (Guid) e, a cada solicitação que precisa que o usuário esteja logado, verifico se esse ID existe no banco de dados.

É seguro o suficiente? Ou como devo torná-lo mais seguro? Ou tenho que escolher uma maneira completamente diferente?