4

我正在为我正在开发的移动应用程序构建 REST API。像 Instagram 一样,我正在考虑锁定一些端点,以便只能从我的移动应用程序访问它们(比如他们的照片上传端点)。

有没有人对他们如何将某些端点锁定到他们的应用程序有任何见解?我想一个可能的解决方案是使用共享密钥对这些特定请求进行签名,并在处理上传之前对其进行服务器端验证。

4

1 回答 1

2

看起来他们

  1. 检查 User-Agent == "Instagram" 的请求标头
  2. 检查是否设置了有效的身份验证 cookie
  3. 使用某种哈希对他们的请求正文进行签名。

我不确定哈希是如何创建的。

查看一些文档,但看起来身份验证部分已被空白。

https://github.com/mislav/instagram/wiki

于 2013-07-12T15:46:33.643 回答