APP 请求验证
http://blog.ubooksapp.com/
前一段時間,在刷博客的時候發現一個挺有意思的應用(美團圖書館),突然覺得自己還真有些這方面的需求,所以打算復制一個app出來跟身邊的同學們一起玩玩,自覺該會是一件蠻有意思的事,哈哈。
開始想法比較簡單,首先搭建restful web services, 已經構想出來的REST API并不多, 如:
POST ../api-v1/user/loginPOST ../api-v1/user/registerPOST ../api-v1/books/shareGET ../api-v1/booksGET ../api-v1/user/12345給人的感覺相當舒服,API 設計參考 Learn REST: A RESTful Tutorial, API的實現采用了Phalcon, 這是一個采用C語言擴展編寫,針對高性能優化的PHP5框架。
Authenticating REST Requests
一般 REST 請求不允許匿名,每次請求都需要攜帶身份驗證信息,通過系統驗證后才能成功請求。
在用戶成功登錄系統后,客戶端會保存一個Secret Access Key,這個Access Key由服務器生成,和客戶端共享,是一個用戶身份標識,通常可以是User ID。
當客戶端發起請求時,先生成signature,然后將Access Key 和 signature添加到請求的頭部信息中去,再發送至服務器。signature由多個頭部信息連接后通過加密得到,例如:
base64(hmac-sha1(VERB + "\n" + CONTENT-MD5 + "\n" + CONTENT-TYPE + "\n" + DATE + "\n" + CanonicalizedSelfHeaders + "\n" + CanonicalizedResource))得到請求頭部類似:
PUT /quotes/nelson HTTP/1.0 Authorization: AWS 44CF9590006BF252F707:jZNOcbfWmD/A/f3hSvVzXZjM2HU= Content-Md5: c8fdb181845a4ca6b8fec737b3581d76 Content-Type: text/html Date: Thu, 17 Nov 2005 18:49:58 GMT X-Amz-Meta-Author: foo@bar.com X-Amz-Magic: abracadabra服務器接收到請求,對signature進行驗證比較,即使用與客戶端相同的加密方法生成一個signature與接收到的signature進行比較,如果相同,則身份認證通過,否則,返回錯誤信息。
AWS Authenticating REST Requests
REST API Login Pattern
總結
- 上一篇: LeetCode OJ -- Binar
- 下一篇: 2004年3月9日