(我使用 PHP)我希望用户能够通过我的 RESTful api 编辑他们的个人资料。每个用户都有唯一的 id(公钥的东西,对吗?),以及存储在数据库中的秘密 api 密钥,没有人可以访问这个密钥(“甚至”对用户自己没有。sub-question:我可以向用户显示他的密钥吗? ? 我注意到 Facebook 会这样做,甚至在他们的 php-sdk 中使用它)。
所以我读了这个答案 - https://stackoverflow.com/a/8567909/410065,并决定了我想要实现的方式(不要认为还有其他方式(?))。
据我了解,我需要调用 update: PUT http://api.domain.com/user/4/?sig=..result of hash_hmac..,但我的问题是 - 在调用它之前,我如何知道hash_hmac(注册sig字段)的结果?当然,我应该进行两次调用hash_hmac- 首先是sig发送 html 表单,其次是验证用户。但是我在哪里第一次调用该函数?(它应该在表单提交和 RESTful 调用之间)。