我目前正在IIS / PHP5.4环境中实现RESTful服务。
在寻找实施身份验证的最佳实践方法时,大多数人/ blogs / forums / stackoverflow都指向使用oAuth进行身份验证。
遗憾的是,目前在Windows上没有适用于PHP5.4的mod_oauth模块。
所以我的问题是:在不使用oAuth的情况下,为RESTful服务实现安全身份验证系统的最佳方法/最佳实践是什么。
或者:如果有人知道一个功能齐全的oAuth类,它几乎以独立的方式实现了mod_oauth的方法,那么这个信息也会受到赞赏。
答案 0 :(得分:0)
我最终使用hash_hmac(http://php.net/manual/en/function.hash-hmac.php)使用我的服务器的私钥将所有提交的数据加密到哈希值和客户知道。如果任何人以任何方式获取信息(url / post data),签名将不再与服务器生成的版本匹配,这将导致请求失败。