如何根据RESTfulGrails驱动的后端验证WordPress前端?

我正在开发一种软件即服务产品,其他开发人员可以使用它来集成到运行在WordPress上的自己的站点中(最终还包括其他平台)。后端将使用grails在一组RESTWebServices上运行。

我想创建一组WordPress小部件,可以自动连接到我的Web服务。WordPress安装将管理所有内容,但Grails后端将管理所有应用程序和域逻辑,包括用户管理。

我想我了解如何通过返回JSON或XML结构,然后在PHP中解析和显示这些结构,从WordPress到Grails得到基本的无状态调用。但除此之外,我还希望支持有状态的活动,比如允许用户在WordPress站点上填写登录表单,同时根据Grails后端对其进行身份验证。用户登录后,其凭据(或会话)应继续传播,以供将来的WebService调用使用。

我不太确定如何开始,因为我对Web服务比较陌生,而且从未做过Web服务或跨站点安全。我的一个想法是以某种方式将JavaJSeStudiID暴露给客户机,但我不确定如何确切地做到这一点。

这种类型的设置是否有任何模式或首选模型?有没有人做过类似的集成,可以给我一些指导?