RESTFullなウェブサービスのユーザー認証ってどうやるんだろう?

SSL+ベーシック認証で行うというのが今のところ唯一の解みたいだけど。ステートレス性を犠牲にせずにユーザー認証/識別を行うとなると、毎回やるのか?オーバーヘッド大きくないのか?とかいろんな疑問がわいてくる。

あと、認証時だけじゃなくて、そのあとのリクエストでのユーザー識別とか。最近のサイトはSSL使うのってほとんどログイン認証時だけで、その後は通常のhttp通信してるだけだと思うのだが、RESTはステートレスなので、Cookie等でsessionidを飛ばすやり方ではユーザーの識別はできないなぁ。どうするんだろう。