PHPアプリからWebサービスへのリクエストを受け入れたいのですが。Webサービスに対して行われたリクエストがphpアプリ(または実際に許可されたソース)からのものであり、偽造されていないことを確認するにはどうすればよいですか?
私のWebサービスは、許可されたドメインからの受信リクエストに依存しており、データを送信してそのドメインからの送信を装っているボットからではありません。
1 に答える
1
Webサービスに対して行われたリクエストがphpアプリ(または実際に許可されたソース)からのものであり、偽造されていないことを確認するにはどうすればよいですか?
さて、彼らの身元を確認し、それが間違っているか欠落している場合は拒否します。
私のWebサービスは、一部のボットからではなく、許可されたドメインからの受信リクエストに依存しています
実際、ここで考えているのは、HTTPリファラーをチェックすることです。これは、簡単になりすましが発生するフィールドの1つです。ですから、それが妥当性の究極のテストであると本当に頼るべきではありません。代わりに、次のようにします。
これらのトピックをグーグル/調査することから始めます。
- HTTPリクエスト、特にヘッダーでデータを渡す
- 認証トークンの生成
- 認証トークンをCookieに保存する
したがって、基本的に、このように機能するAPIについて読むことはほとんどあります。基本的に、クライアントは初期認証APIメソッドを何らかの方法で実行し、一時的な認証トークン(通常はmd5(userID)の形式に従います)を生成します。 + timestamp + authlevel + etc + etc))。次に、他のAPIメソッドに対して行われる後続のすべてのリクエストのヘッダーに認証トークンを含めます。次に、APIは最初にそのトークンを検証し、有効な場合はメソッドを実行します
優れたAPI開発に関するチュートリアル/情報については、 APIGEEをチェックしてください。
于 2012-09-22T05:18:02.630 に答える