我想接受php应用程序对我的web服务的请求。我如何验证向web服务发出的请求是否来自php应用程序(或任何授权来源)并且不是伪造的?
我的web服务依赖于接收到的来自允许的域的请求,而不是来自发送数据并预示来自该域的某个机器人。
如何验证向web服务发出的请求来自php应用程序(或任何授权来源),并且不是伪造的?
好吧,验证他们的身份,并在错误或丢失时拒绝。
我的web服务依赖于接收到的来自允许的请求域,而不是来自某个机器人
实际上,您在这里想的是检查HTTP引用。这恰好是一个很容易被欺骗的字段。所以你不应该真的把它当作有效性的终极测试。相反,我会做以下操作:
从谷歌搜索/研究这些主题开始:
- HTTP请求,特别是在标头中传递数据
- 生成身份验证令牌
- 在cookie中存储身份验证令牌
所以,基本上,很多时候你都会读到以这种方式工作的API,基本上:客户端以某种方式执行初始身份验证API方法,该方法将生成临时身份验证令牌(通常遵循格式,即md5(userID+时间戳+身份验证级别+etc+etc))。然后,在向其他API方法发出的所有后续请求的头中包含auth令牌。然后API首先验证该令牌,如果该令牌有效,则执行方法
有关API良好开发的教程/信息,您应该查看APIGEE