我正在构建REST API并使用oAuth进行授权。我的问题是,在包含数据的PUT和POST请求的情况下,我是否需要对请求的主体做任何事情?如果这有任何不同,我正在使用SSL。
在我看来,网址是由oAuth签名验证的,但身体的内容可能是任何东西。我不确定这是否是一个问题,因为如果URL被正确签名,那么他们提供了正确的凭据来进行插入或更新。我也使用nonce来防止重放攻击,但我想避免因为误解如何处理请求体而造成安全问题。
感谢您的任何建议。
答案 0 :(得分:1)
我通过一些OAuth库找到了答案。它不是规范的正式部分,但是一些服务和库在请求标头中使用“xoauth_body_signature”和“xoauth_body_signature_method”来发送正文内容的签名。
显然,实施有一些挑战,可以通过Google搜索xoauth_body_signature找到讨论。似乎很多人都没有这样做。