http接口服务,对调用方的身份认证,有什么方式

1.肯定暴漏在广域网环境
2.安全性要求很高
3.性能要求不高想请教下有没有成熟的解决方案,我这边能想到的就是分配调用方一个密钥,调用方把时间戳、ip、请求报文一起签个名,我这边再认证。不知道业内有没有成熟的标准或解决方案?能否尽量详细一点

解决方案 »

  1.   

    最初是想借鉴oauth2的,但是感觉流程不太适合,开放平台的标准感觉适用于第三方账号登陆
      

  2.   

    楼主的个思路也可以。调用方传按约定好的格式的数据,加调用方的签名,然后加密后传输。
    服务端判断来访IP是不是在允许的IP集合中,如果是解密数据包,检查签名,检查数据格式。也可以用一中间件服务器来统一做安全性验证
      

  3.   

    一般情况都是和楼主说差不多,双方选择一种加密模式对传输的数据进行加密,在用其中几个字段进行数字签名,双方对签名再进去验证,防止数据串改;其实腾讯的开放平台HTTP接口也是这么做的,当然有更简单HTTPS方式;
    参考网站:衣时尚www.yishish.com的QQ登陆接口就是这么做的