这是一个创建于 3676 天前的主题,其中的信息可能已经有所发展或是发生改变。
大家都知道, @xoxo 同学是代购ssl的黄牛, 但手工当黄牛累啊, 于是就有了https://www.sslcertificate.cn , @xoxo 只需把code发给用户, 用户就可以自己去申请证书了; 然后有同学说想把服务接入到自己的平台, 于是就有了 https://www.sslcertificate.cn/api/ .
初步想到的方API案是:
- 第三方平台通过appid/appkey 签名请求
sumitCSR到https://www.sslcertificate.cn/api/ , 提交code、csr、域名、callback、第三方唯一id(nonce), 我这边就成功下单子了; - 在单子有结果(success、rejected)后, 我这边通过第三方平台的appid/appkey, 向第三方平台给的callback发起
notifyDV(notify domain validation) 请求, 将域名验证的信息页面和nonce通知回callback; - 用户验证通过后, 证书一般在30秒内就颁发, 我会在证书颁发后同样通知回callback(
notifyCERT); - 所有需要异步通知的操作, 我设想是未来7天内, 每10分钟重复通知一次, 直至返回{code:200,data:{msg:“success”}}为止
`
这样问题来了, 假如第三方平台不知道nonce是啥怎么办? 我设计上是想把
nonce当做第三方平台的唯一订单id处理, 不是随机生成的. 还有就是这样的api设计上有没有潜在的问题? 比如安全问题啥的.
第 1 条附言 · 2014-10-31 13:30:18 +08:00
demo
<script src=".js"></script>
<script src=".js"></script>
第 2 条附言 · 2014-10-31 16:39:30 +08:00
 |
1
cnxh 2014-10-30 18:40:50 +08:00
1、第三方平台给nonce(订单号)就给他返回,不给通知的时候就不返回(让他自己对应去)
2、签名的时候所有参数(queryString/get/post等等等)排序后都参与到生成签名串的计算中; 第三方平台预存金额; 域名重复时处理 期待楼主更多ssl活动 |
 |
2
ahu 2014-11-10 10:08:36 +08:00
怎么接入?
|
Select Language