我有一个PHP网站,我通过RESTful JSON API连接到移动应用程序。
据我所知,我必须保持Get / Post的概念分离。但是,我们试图以安全的方式做到这一点。现在,在每个请求中,我们传递一个public_key和hash。 public_key用于标识发出请求的用户,并使用散列对其进行身份验证。
哈希是基于一些因素构建的,包括双方持有的私钥。如果服务器构建的哈希与传入的哈希匹配,则Web服务器构建哈希并授权请求。
但是现在我们在帖子中这样做,通过JSON发送信息。
{
"auth_map":{
"pubkey":"a40834b928803e358d6acb74b41e43e419d0d7f983570d9063a910781458a3a",
"hash":"9522903fcac35d75d5290804c173756250319da5beb727f13937206948edf52ed"
}
}
端点为url.com/api/v1/items
此端点应与Http Get一起使用以取回所有项目。但是现在我们被迫做了一个帖子,即使没有向服务器发送或添加列表项。
有更好的方法吗?我应该对auth进行base64编码并将其推入基本的http auth标头吗?任何建议都会很棒。