Mik*_*ike 3 paypal http http-authentication http-headers
我只是阅读Paypal的API文档,例如Adaptive Accounts API
我的问题:使用(自定义?)HTTP请求标头进行身份验证而不是"普通"POST/GET(甚至是COOKIE)变量的原因/优势是什么?
在上面提到的示例中,PayPal使用以下HTTP请求标头:
X-PAYPAL-SECURITY-USERID
X-PAYPAL-SECURITY-PASSWORD
X-PAYPAL-SECURITY-SIGNATURE
X-PAYPAL-APPLICATION-ID
X-PAYPAL-DEVICE-IPADDRESS
X-PAYPAL-REQUEST-DATA-FORMAT
Run Code Online (Sandbox Code Playgroud)
ben*_*ado 10
通过将身份验证信息与有效负载(您正在传输的数据)分开,可以更轻松地在请求管道的早期阶段处理身份验证.例如,网守服务器可以通过仅查看标头来接收请求并对它们进行身份验证,然后将它们传递给解析请求主体并完成实际工作的模块/服务器/类.
如果请求未通过身份验证,则可能会在请求接近处理资金的代码之前将其拒绝.
当然,无论采用何种方式,您都可以通过这种方式构建系统,但将其保存在标题中意味着您无需解析请求体甚至查看它.Content-Length:如果要在将标头传递到另一台服务器之前修改标头,也无需担心调整.
我认为这只是因为PayPal想要一个比这些中任何一个都能容纳的更强大的方案.WWW-Authenticate仅允许基本(明文)和摘要(MD5)认证,并且自编写这些规范以来已经开发了许多更好的方案.他们也不允许超过用户名和密码.
Cookie是技术上不透明的数据位,您可以从服务器接收并更改回传递给它.同样,他们可以告诉你如何生成你在Cookie标头中传递的信息,但这不会真正遵循规范,所以在这一点上,为什么不只是使用一些自定义标头?
| 归档时间: |
|
| 查看次数: |
1616 次 |
| 最近记录: |