您如何签署请求 API(当您决定如何执行时)?
实际上我正在为我们的网络服务制作一个 API。由于时间和资源原因,我们现在无法使用 oauth。计划在未来版本中使用,但现在我们需要以其他方式进行。
@romainmuller 向我展示了一个很好的客户 <->服务器交换方案,对于这个方案,我需要使用秘密 API 和会话令牌签署我的请求。我的问题是,签名生成有什么标准吗?我认为要做这样的事情:
- 对参数进行排序。
- 创建一个字符串:
HTTPMETHOD&NORMALISEURL&NORMALIZEPARAMS&SECRET&TOKEN,其中标准化内容只是一个 utf8_encode 后跟一个 url_encode - 在此字符串上使用 HMAC/SHA256 和 API 机密。
但在这个过程中我永远不知道哪个 API 客户端会调用我。我需要读取 API 密钥或会话令牌才能知道这一点。在这个过程中我该如何实现它?
Actually I'm making an API for our webservices. For time and resources reason we can't use oauth now. It's planned for future version but for now we need to do in other way.
@romainmuller showed me a nice client <-> server exchange scheme and for this one I need to sign my request with secret API and session token. My question is this, is there any standard for signature generation? I think to do something like this:
- Sort arguments.
- Make a string :
HTTPMETHOD&NORMALISEURL&NORMALIZEPARAMS&SECRET&TOKENwhere normalize stuff is just a utf8_encode followed by a url_encode - Use HMAC/SHA256 with API secret on this string.
But with this process I never know wjich API client call me. I need API key or session token reading to know that. How might I implement it in this process?
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论