我在Rails中構建了一個基於XML的webservice作爲iPhone應用程序的後端,我想知道如何才能最好地實現auth方案,這將允許我同時使用GET和POST請求 - 即不需要在XML有效負載的主體中發送auth的請求。Rails XML API設計實踐
這裏的皺紋是我沒有使用普通的HTTP驗證。相反,我正在創建一個SHA1摘要以及未經哈希的ID的硬件ID(連接w/a「祕密」字符串預摘要)。我在服務器上驗證它,試圖從請求中重新創建帶有硬件ID的摘要,並將其與來自請求的散列硬件ID進行匹配。
我的問題是這樣的:我應該創建我的服務,以便每個資源上的每個操作都需要包含常用XML結構中的安全上下文的POST XML的有效載荷,還是有更好的方法來實現它?
換句話說,我想使用GET對於像/顯示,/指數等,但因爲我的應用程序目前爲,我不能這樣做,因爲我需要發送包含XML有效負載安全上下文。
也許有一種很好的方法可以有效地實現與Google API的頭文件相同的功能?
每一個安全環境是這樣的:
<request-wrapper>
<security-context>
<username>joefoo</username>
<hardware-id>AE7D128BCA9206E59901</hardware-id>
<hashed-hardware-id>cfd7983850301f97f6fdc26b553d1b6170f18bde</hashed-hardware-id>
</security-context>
...
(remainder of request payload)
...
</request-wrapper>
這是Rails的我的第一個XML服務,所以我會很感激在這方面的任何一般的做法的建議爲好。
謝謝!
感謝您的迴應 - 這些都是好的。應用程序本身並不重要(沒有個人數據或任何傳輸內容),如果這意味着簡化實現,我一直認爲重播風險是可以的,但是關於僅使用SSL的說法很重要。 – trevrosen