6

使用 tinyurl 或 bit.ly 实现类似的服务,我想将服务公开为 API,我使用 java 和 jersey 作为 RESTfull 服务实现。

我正在寻找最简单的方法来验证使用 API 的用户,首先想到的是 OAuth,但问题是我不需要带有请求令牌查询的这 3 次迭代调用,而不是带有回调 url 传递的访问令牌查询。我只需要让用户能够调用 api 而无需对我的服务器进行额外的安全调用。

4

2 回答 2

11

感谢 patrickmcgraw 评论,我使用了 2-legged oauth authentificaton。这是一些java代码。

对于客户端(使用 Jersey api):

OAuthParameters params = new OAuthParameters().signatureMethod("HMAC-SHA1").
    consumerKey("consumerKey").version("1.1");

OAuthSecrets secrets = new OAuthSecrets().consumerSecret("secretKey");
OAuthClientFilter filter = new OAuthClientFilter(client().getProviders(), params, secrets);


WebResource webResource = resource();
webResource.addFilter(filter);

String responseMsg = webResource.path("oauth").get(String.class);

在供应商方面:

@Path("oauth")
public class OAuthService {
    @GET
    @Produces("text/html")
    public String secretService(@Context HttpContext httpContext) {
        OAuthServerRequest request = new OAuthServerRequest(httpContext.getRequest());

        OAuthParameters params = new OAuthParameters();
        params.readRequest(request);
        OAuthSecrets secrets = new OAuthSecrets().consumerSecret("secretKey");

        try {
            if(!OAuthSignature.verify(request, params, secrets)) 
                return "false";
        } catch (OAuthSignatureException ose) {
            return "false";
        }

        return "OK";
    }
}

这是PHP客户端的代码:

<?php 

require_once 'oauth.php';

$key = 'consumerKey';
$secret = 'secretKey';
$consumer = new OAuthConsumer($key, $secret);

$api_endpoint = 'http://localhost:9998/oauth';
$sig_method = new OAuthSignatureMethod_HMAC_SHA1;

$parameters = null;
$req = OAuthRequest::from_consumer_and_token($consumer, null, "GET", $api_endpoint, $parameters);
$sig_method = new OAuthSignatureMethod_HMAC_SHA1();
$req->sign_request($sig_method, $consumer, null);//note: double entry of token

//get data using signed url
$ch = curl_init($req->to_url());
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$res = curl_exec($ch);

echo $res;
curl_close($ch);
于 2010-05-09T18:34:57.327 回答
0

如果您在传输层使用 http,则始终可以使用基本的 http 身份验证

于 2010-05-08T22:33:08.143 回答