http接口服务,对调用方的身份认证,有什么方式
1.肯定暴漏在广域网环境
2.安全性要求很高
3.性能要求不高
想请教下有没有成熟的解决方案,我这边能想到的就是分配调用方一个密钥,调用方把时间戳、ip、请求报文一起签个名,我这边再认证。
不知道业内有没有成熟的标准或解决方案?能否尽量详细一点
------解决方案--------------------
楼主的个思路也可以。
调用方传按约定好的格式的数据,加调用方的签名,然后加密后传输。
服务端判断来访IP是不是在允许的IP集合中,如果是解密数据包,检查签名,检查数据格式。
也可以用一中间件服务器来统一做安全性验证
------解决方案--------------------
一般情况都是和楼主说差不多,双方选择一种加密模式对传输的数据进行加密,在用其中几个字段进行数字签名,双方对签名再进去验证,防止数据串改;其实腾讯的开放平台HTTP接口也是这么做的,当然有更简单HTTPS方式;
参考网站:衣时尚www.yishish.com的QQ登陆接口就是这么做的