这是一个创建于 4321 天前的主题,其中的信息可能已经有所发展或是发生改变。
有一个App,他需要调用我们的Web 服务器上的 Http 的Api,这个api要求是在用户在web服务器上登陆的,我们的服务器上有一份用户数据,原来我们使用http://www.a.com/api/logon/?username=abc&password=123来实现,然后返回一个授权凭证的cookie,之后的api只要带这个cookie就可以进行操作。这些和web开发是一样的。
我们现在想在App上使用weibo或者qq的第三方登陆验证(在app上完成),在确定完成weibo的授权验证之后,我们还是需要向我们的服务器进行一次登陆和授权吧,但是这时我们只有weibo的uid之类的而没有密码,所以向http://www.a.com/api/logon/?weibo-uid=123这样来给这个用户完成授权(没有的时候创建这个用户)。但是我如何保证这个过程不能被伪造呢,虽然我可以弄一个签名算法,但是这样肯定需要在App上保留这个签名算法和密钥吧,还是可以通过反向的方法找出来后自己伪造一个。
现在我实现是想不到有啥办法了,可能我一开始的思路就是错误的,只能来请教一下如何设计这个,谢谢。
我看到啪啪就是类似的实现啊,不知道他是如何做的。
1 条回复 • 2014-08-26 15:47:53 +08:00
|
|
1
fire5 2014-08-26 15:47:53 +08:00
去看看 OAuth2.0
|