Api 使用SHA-1散列的PKE REST身份验证
我正在设计我的第一个RESTful API,并试图弄清楚如何对API调用进行身份验证。我过去曾与之合作过,而且运气很好,所以我的很多auth设计都是基于链接中描述的算法 总结他们的过程,创建有效/经过身份验证的API调用:Api 使用SHA-1散列的PKE REST身份验证,api,rest,authentication,public-key-encryption,hmac,Api,Rest,Authentication,Public Key Encryption,Hmac,我正在设计我的第一个RESTful API,并试图弄清楚如何对API调用进行身份验证。我过去曾与之合作过,而且运气很好,所以我的很多auth设计都是基于链接中描述的算法 总结他们的过程,创建有效/经过身份验证的API调用: 向他们注册帐户并生成公钥/私钥集。然后,对于每个API调用: 获取进行调用的时间戳 根据私钥计算时间戳的SHA-1散列 确保您的公钥、私钥和计算出的散列(如上)在每个API调用中作为3个单独的HTTP参数出现 起初,这让我有点困惑,但我能够用他们的API很快地进行身份验证。但
pubkey+privkey+hashd_timestamp
方法吗?如果有,是否有名称/算法?还有其他同样安全的竞争对手吗hash(k1+散列(k2+消息))
,其中k1
和k2
是从实际密钥派生的。因此,当我们执行HMAC时,我们需要传递将要使用的实际哈希算法的名称(这里是SHA-1)、消息(这里是时间戳)和密钥
最后,我该如何处理3个参数(pub键、priv键、散列键)
要在服务器端执行身份验证吗?