我正在开发服务器api和客户端应用程序。我正在努力与客户端,以及是否将其编码为放置在其服务器上的应用程序或嵌入iframe并托管在我们的服务器上。我需要你的见解。
以下是我们的约束:
付费订阅应用。我们希望授权向服务器发出的每个请求,以确保它来自付费客户的网站。目前,我们设计了API以在标头中接受HMAC Auth,然后将它与引用主机进行比较,以及我们的数据库中的内容。
API是RESTful。我们不想要cookie或会话。
授权仅针对客户托管网站(我们的付费客户)而非其受众群体。
发回的资源(如果请求已经过验证)将嵌入到我们客户的HTML页面中。
我们希望尽量减少客户服务器上的代码量。
如果需要,我们会对SSL / HTTPS和Oauth开放。
鉴于以上参数,您将如何处理客户端部分?我的第一个想法是开发用于生成HMAC的服务器代码(位于我们客户的服务器上),然后将其嵌入到我们页面上嵌入的iframe中。
感谢您的时间和见解