http://blog.ubooksapp.com/

前一段時(shí)間，在刷博客的時(shí)候發(fā)現(xiàn)一個(gè)挺有意思的應(yīng)用（美團(tuán)圖書館），突然覺得自己還真有些這方面的需求，所以打算復(fù)制一個(gè)app出來跟身邊的同學(xué)們一起玩玩，自覺該會(huì)是一件蠻有意思的事，哈哈。

開始想法比較簡單，首先搭建restful web services, 已經(jīng)構(gòu)想出來的REST API并不多, 如:

POST ../api-v1/user/loginPOST ../api-v1/user/registerPOST ../api-v1/books/shareGET ../api-v1/booksGET ../api-v1/user/12345

給人的感覺相當(dāng)舒服，API 設(shè)計(jì)參考 Learn REST: A RESTful Tutorial， API的實(shí)現(xiàn)采用了Phalcon, 這是一個(gè)采用Ｃ語言擴(kuò)展編寫，針對(duì)高性能優(yōu)化的PHP5框架。

Authenticating REST Requests

一般 REST 請(qǐng)求不允許匿名，每次請(qǐng)求都需要攜帶身份驗(yàn)證信息，通過系統(tǒng)驗(yàn)證后才能成功請(qǐng)求。

在用戶成功登錄系統(tǒng)后，客戶端會(huì)保存一個(gè)Secret Access Key，這個(gè)Access Key由服務(wù)器生成，和客戶端共享，是一個(gè)用戶身份標(biāo)識(shí)，通常可以是User ID。

當(dāng)客戶端發(fā)起請(qǐng)求時(shí)，先生成signature，然后將Access Key 和 signature添加到請(qǐng)求的頭部信息中去，再發(fā)送至服務(wù)器。signature由多個(gè)頭部信息連接后通過加密得到，例如：

base64(hmac-sha1(VERB + "\n" + CONTENT-MD5 + "\n" + CONTENT-TYPE + "\n" + DATE + "\n" + CanonicalizedSelfHeaders + "\n" + CanonicalizedResource))

得到請(qǐng)求頭部類似：

PUT /quotes/nelson HTTP/1.0 Authorization: AWS 44CF9590006BF252F707:jZNOcbfWmD/A/f3hSvVzXZjM2HU= Content-Md5: c8fdb181845a4ca6b8fec737b3581d76 Content-Type: text/html Date: Thu, 17 Nov 2005 18:49:58 GMT X-Amz-Meta-Author: foo@bar.com X-Amz-Magic: abracadabra

服務(wù)器接收到請(qǐng)求，對(duì)signature進(jìn)行驗(yàn)證比較，即使用與客戶端相同的加密方法生成一個(gè)signature與接收到的signature進(jìn)行比較，如果相同，則身份認(rèn)證通過，否則，返回錯(cuò)誤信息。

AWS Authenticating REST Requests
REST API Login Pattern

---

總結(jié)

以上是生活随笔為你收集整理的APP 请求验证的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。