我在这里认为像Facebook应用程序。用户生成的代码片段,人们可以编写与我的应用进行交互。您如何验证用户为您的应用生成的“应用”?
我理解一个经过身份验证的API是如何工作的,但这看起来有点复杂,因为APP不仅需要对自身进行身份验证(使用常规api-key),而且使用该应用的USER也必须以某种方式进行身份验证,没有给应用程序免费的统治。
我一直在读了一下这里看看FB是怎么做的:http://wiki.developers.facebook.com/index.php/How_Facebook_Authenticates_Your_Application
它看起来像你必须除了与每一个电话沿着API密钥传递一个签名,但我无法绕过我的头,如何产生和使用另一端(我的服务器)。
这里的数字必须有一个简单的解释吗?谢谢!
P.S.如果有任何适用的gem/plugins,我正在构建一个Rails应用程序。
这可能是我所需要的:
这里的最佳答案也是揭示: http://stackoverflow.com/questions/247110/looking-for-suggestions-for-building-a-secure-rest-api-within-ruby-on-rails – 2010-04-02 07:25:23
你有authlogic_api任何成功?我正在服务器端为Steam游戏工作,用户通过Steam登录,所以我只响应来自客户端的REST调用(不需要用户登录)。 authlogic_api的rdoc给出了一些简短的设置信息,但我正在努力处理application_controller中的操作来限制访问;基本上这个代码从authlogic例如相当于:
我结束了在这个项目上采取不同的路线,所以不知道 - 它可能已经奏效。对不起,我无法提供更多帮助!虽然制作Steam游戏听起来很有趣。 – 2010-06-24 17:50:20
最后工作得很好。这里的详细信息对于任何人谁绊倒这... http://stackoverflow.com/questions/3111869/using-authlogic-api-for-rails-rest-api-access – JayZeeNYC 2010-08-18 15:59:46
只有几个电话(事情,作为代表一个用户,主要是)需要一个会话密钥 - 有呼叫的数量是做工精细没有。 Facebook用于将会话密钥关闭到不同应用程序的实际方法因应用程序的类型/设置而异。会话密钥只是临时的(一小时),并只发送给“允许”的应用程序。这个问题值得更好的(非SO?)研究。 – 2010-04-02 05:15:48