对于从salesforce应用程序到我自己的Web服务器的http查询,是否有一种好方法可以进行密钥身份验证?换句话说,我想给每个公司安装我们的应用程序自己的密钥。然后,应用程序对我们的服务器进行的每次http调用(无论是json还是只是指向托管iframe的链接)看起来都是这样的:
groupid = groupid
param1 = value1
param2 = value2
signParam = signValue
signValue = md5("groupid=groupid,param1=value1,param2=value2,secretKey"
然后,当我收到查询时,我还会计算签名,以确保它在我在Web服务器上执行任何操作之前匹配。问题是,我不知道如何为安装我们应用程序的每家公司分配和存储密钥(也就是说,让密钥存储在他们的安装中)。
有没有一个好方法可以做到这一点,我错过了?如果在salesforce中无法做到这一点,那么在自己的服务器中执行操作之前,如何对Web查询进行身份验证呢?
答案 0 :(得分:3)
让salesforce方将用户sessionId发送到您的Web服务,而不是尝试在salesforce端跟踪它,然后您可以使用API来验证sessionId获取有关用户的详细信息,并在本地检查特定用户/组织是许可的。 developerforce wiki上有一些关于使用这种方法的文章。