我正在使用 curl post 在我的三个站点之间交换数据。我需要通过确认是否从我的三个站点中的任何一个发送的 POST 请求来保护数据交换。
现在我已经实现了请求标头检查,但也可以操纵请求标头。有没有一种万无一失的方法来实现这一目标?
问问题
580 次
1 回答
0
我正在开发一个 RESTful 服务,并考虑如何确保服务和授权客户端之间的通信。经过长时间的研究,我决定采用以下解决方案。
每个客户端(应用程序)都有一个公共 ID 和一个私钥。公众号可以up。私钥,只有客户端和服务知道。
对于每个请求,客户端必须使用 HTTP 基本身份验证对其进行身份验证。用户名是公共 ID。密码是 SHA1 令牌。令牌由公共 ID、传输参数和私钥组合生成。
当服务收到请求时,他通过用户名知道是哪个客户端发出了这个请求。它使用相同的方法生成一个令牌并将其与密码进行比较。如果两个令牌相同,则客户端有权发出请求。此外,确保不操纵参数。
于 2013-04-14T08:32:34.527 回答