(我使用PHP)我想让用户能够通过我的RESTful api编辑他们的个人资料。每个用户都有唯一的id(公钥,对吧?),以及存储在DB中的秘密api密钥,没有人可以访问这个密钥(甚至对用户自己也没有。{{1我可以向用户显示他的密钥吗?我注意到Facebook会这样做,甚至在他们的php-sdk上使用它。)
所以我读了这个答案 - https://stackoverflow.com/a/8567909/410065,并决定了我想要实现的方式(不要认为还有其他方式(?))。
据我了解,我需要拨打此电话进行更新:sub-question:,但我的问题是 - 如何知道PUT http://api.domain.com/user/4/?sig=..result of hash_hmac..的结果(注册hash_hmac字段)在我打电话之前?当然我应该拨打sig两次电话 - 首先让hash_hmac发送html表单,然后再验证用户。但是我在第一次调用函数的地方? (它应该在表单提交和RESTful调用之间。)