这是一个创建于 3096 天前的主题,其中的信息可能已经有所发展或是发生改变。
api 肯定要做签名,然后看了一下一般都是对 post 参数或者 get 参数做签名,但是如果是用 json 格式传的话,一般是怎么做签名的呢。。?是不是只能让整个 json body 参与签名了
 |
1
wesley 2016-05-27 13:30:07 +08:00
强制要求每次请求时 header 中必须包含一个时间
签名方法: sign(header 中的时间, body, key 或者 token ) 这样做是为了防止 body 为空时, 签名算法被破解 |
 |
2
haozibi 2016-05-27 14:39:36 +08:00 via Android
baidu 有个 api 把认证加载在 header 中,具体怎么弄的不清楚
|
 |
3
cjyang1128 OP @wesley 谢谢
|
 |
4
skydiver 2016-05-27 17:26:24 +08:00
|
 |
5
julyclyde 2016-05-27 18:25:51 +08:00
|
|
6
cjyang1128 OP @julyclyde 额。。。?
|
|
7
cjyang1128 OP @skydiver 谢谢
|
 |
8
garrydzeng 2016-05-27 20:05:12 +08:00
拿要保护的数据签
我习惯用某些请求头+消息体签名 毕竟 HMAC 防篡改 还有就是用 timestamp + nonce 防重放 |
|
9
julyclyde 2016-05-27 22:29:40 +08:00
@cjyang1128 requests 的自定义 auth 模块
|
Select Language