所以我被MintChip Challenge录取了,但不幸的是我没有支持的移动设备(Android、iPhone 或 Windows Phone),所以我必须使用Hosted API。我打算使用 JavaScript/PHP 与 API 进行交互。唯一的问题是,当我尝试请求数据时,我收到403 错误,这意味着 API 理解了我的请求但选择拒绝它。
我知道所有请求都需要 SSL 并使用您提供的证书进行签名。我也知道我的证书有效并正确导入到我的浏览器,因为我可以通过点击任何 URL 进入托管 API 并直接查看请求,即: https ://remote.mintchipchallenge.com/mintchip/info/ json
所以最大的问题是,Apache Web 服务器本身是否可以像我的浏览器一样为所有请求签名,以启用服务器-服务器签名请求。除此之外,PHP 是否有任何库或实用程序可用于导入 x.509 证书并用它签署您的请求?
我通常使用 JSONp 向 JSON API 发出客户端-服务器请求,这可以解决这个需求,但可以理解的是,JSONp 被视为安全风险,因此不受 MintChip 支持。我也想不出任何其他 API 对每个请求都需要这种级别的安全性,通常只是 BASIC Auth 或 ws-security 或其他东西,这是否矫枉过正,甚至会让事情变得更安全吗?一般信息问题通常不被看好,因为我什至在发布之前就已经对这个问题发出警告,但也许一些安全专家有更多关于如何签署 Apache Web 服务器、对来自特定目录的所有请求强制 SSL、保护密钥同时的信息将它们存储在服务器上,通过 PHP 使用 x.509 等?谢谢你的帮助。
(更新:2012-05-04,更改标题以反映您使用私钥签署请求的事实,并且它们当然会使用您的公钥解密)