我正在开发服务器 api 和客户端应用程序。我在客户端苦苦挣扎,是否将其编码为放置在他们服务器上的应用程序或嵌入 iframe 并托管在我们的服务器上。我需要你的见解。
这是我们的约束:
基于付费订阅的应用程序。我们希望授权向服务器发出的每个请求,以确保它来自付费客户的站点。目前,我们设计了 API 以在标头中接受 HMAC Auth,然后将其和引用主机与我们的数据库中的内容进行比较。
API 是 RESTful 的。我们不想要 cookie 或会话。
授权仅适用于客户托管网站(我们的付费客户),而不适用于他们的受众。
发回的资源(如果请求得到验证)将嵌入到我们客户的 HTML 页面中。
我们希望尽量减少客户服务器上的代码量。
如果需要,我们对 SSL/HTTPS 和 Oauth 开放。
鉴于上述参数,您将如何处理客户端部分?我的第一个想法是开发用于生成 HMAC 的服务器代码(位于我们客户的服务器上),然后将其嵌入传递到我们嵌入在他们页面上的 iframe。
感谢您的时间和见解