我有一个网站,允许用户使用类似REST的方法访问它。我希望以这样一种方式保护它,即只使用查询字符串来简化它。 我已经阅读了一些方法来保护REST请求,如摘要式身份验证或WSSE身份验证,但它使用了需要发送的其他标头。
我想要的是使用本文所述的基于随机数的系统非常简单:http://tyleregeto.com/article/a-guide-to-nonce
离。然后url访问用户电子邮件johndoe@gmail.com的项目列表将是:
http://mywebsite.com/api.php?email=johndoe@gmail.com&nonce= $随机数&安培;时间戳= $时间戳
你认为这是安全的吗? Tbh,我发现它与WSSE身份验证或摘要身份验证不同。所以我认为它是安全的。我只是想要一些反馈......也许我错了,因为我对安全性和api访问不是很熟悉。