Wie kann man einen REST-Webservice absichern, damit nicht "virtuell" Waren gekauft werden um z.b. einen Zähler im eigenen Kundenkonto hochzutreiben?

hilft https, auch wenn der "angreifer" die api-aufrufe kennt?

https verschlüsselt nur die kommunikation zwischen dem client und dem server per ssl, kümmert sich aber nicht um die authentifizierung.

das restinterface kannst du zb per "api-key" absichern, den der client zur identifizierung immer mitschicken muss => ohne api-key kein kaufen, was auch immer.

über den api-key hinaus lässt sich sicher noch einiges mehr machen/ausdenken, aber ohne etwas konkretere angaben ists schwer da was zu zu sagen.

wie schützt der api key vor replay angriffen?

den kann doch jeder angreifer mitsenden und ist authent.

HTTP Digest Authentifizierung gilt (vor allem zusammen mit SSL) als ziemlich sicher. Wär auch RESTful, nur kommts auf deinen Hoster an, ob das überhaupt unterstützt ist.

Mehr geht natürlich immer, weil es absolut sicher nicht gibt.

Vor welchem Angriff willst du dich den überhaupt schützen?

Wenn man virtuelle Items verkauft macht man das normalerweise als Transaktion so dass diese dem Konto nur gutgeschrieben werden wenn im Gegenzug die Kosten dafür irgendwo abgebucht hat. Falls nötig als 2 Phase Commit.