api 签名的相关问题

2016-05-27 13:07:16 +08:00
 cjyang1128

api 肯定要做签名,然后看了一下一般都是对 post 参数或者 get 参数做签名,但是如果是用 json 格式传的话,一般是怎么做签名的呢。。?是不是只能让整个 json body 参与签名了

1646 次点击
所在节点    问与答
9 条回复
wesley
2016-05-27 13:30:07 +08:00
强制要求每次请求时 header 中必须包含一个时间
签名方法: sign(header 中的时间, body, key 或者 token )

这样做是为了防止 body 为空时, 签名算法被破解
haozibi
2016-05-27 14:39:36 +08:00
baidu 有个 api 把认证加载在 header 中,具体怎么弄的不清楚
cjyang1128
2016-05-27 17:22:17 +08:00
@wesley 谢谢
skydiver
2016-05-27 17:26:24 +08:00
可以参考 https://docs.aws.amazon.com/AmazonS3/latest/dev/RESTAuthentication.html
julyclyde
2016-05-27 18:25:51 +08:00
https://github.com/julyclyde/sentry-IM/blob/master/sentry_IM/requests_APISign.py
cjyang1128
2016-05-27 18:42:41 +08:00
@julyclyde 额。。。?
cjyang1128
2016-05-27 18:42:52 +08:00
@skydiver 谢谢
garrydzeng
2016-05-27 20:05:12 +08:00
拿要保护的数据签
我习惯用某些请求头+消息体签名
毕竟 HMAC 防篡改
还有就是用 timestamp + nonce 防重放
julyclyde
2016-05-27 22:29:40 +08:00
@cjyang1128 requests 的自定义 auth 模块

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/281663

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX