На самом деле я делаю API для наших веб-сервисов. По причине времени и ресурсов мы не можем использовать oauth сейчас. Это запланировано на будущую версию, но сейчас нам нужно сделать по-другому.
@ romainmuller показал мне хорошую схему обмена клиентским <-> сервером, и для этого мне нужно подписать свой запрос с помощью секретного API и токена сеанса. У меня такой вопрос, есть ли какой-нибудь стандарт для генерации подписи? Я думаю сделать что-то вроде этого:
- Сортировка аргументов.
- Создайте строку:
HTTPMETHOD&NORMALISEURL&NORMALIZEPARAMS&SECRET&TOKEN, где нормализация - это просто utf8_encode, за которым следует url_encode
- Использовать HMAC / SHA256 с секретом API для этой строки.
Но с этим процессом я никогда не узнаю, как API-клиент звонит мне. Мне нужно чтение ключа API или токена сеанса, чтобы знать это. Как я могу реализовать это в этом процессе?