RESTful API认证模式
“”， 说，这也是他在使用云提供者和SaaS提供商们提供的API进行编程的过程中的领悟之一。在一篇博文中他提出了一组旨在适用于任何REST的认证需求的标准。
George曾开发过各种各样的Web服务API，他发现每一种API都需要一种特定的认证机制。
我已经疲于在这种事情上上浪费脑细胞了，比如某提供商A的要求是在URL编码之前或之后为查询字符串进行签名。我也早已厌倦了提供商们诸如要求使用用交互用户的凭证进行API调用的这样的认证要求了。
他勾勒了REST API的认证机制的设计规则。他说，“让我们变得简单些：如果你不加密API调用，你甚至连假装安全都做不到”。
1。 所有的REST API调用必须运行在使用可信的CA签名过的证书的HTTPS之上。所有客户端与服务端交互之间必须要验证服务端证书。
通过使用由可信机构签名的证书，SSL可以保护你免受攻击。中间人攻击的手段是在客户端和服务端之间插入一个代理进而窃听“加密的”通信。
如果你不验证服务端的SSL证书，你就无法知道谁在接收你的REST查询请求。
2。所有的REST API调用应该通过专门的API密钥完成，该密钥由标识成分和共享密钥两部分组成。系统必须允许一个指定客户端拥有多个活动的API密钥并能方便地让个别密钥失效。
前半部分的重点是发起REST请求的系统不应是某个交互用户……REST认证的的是程序而不是人，它支持比人使用的用户名/密码更强大的认证手段。
后半部分的意思是，每个REST服务器应该支持每个客户端拥有多个API密钥。该需求使得孤立潜在危害和当危害发生时解决问题更为简单。[…] 当应用被破坏时，你也需要一种完善的方式铺开替换的API密钥。
3. 所有的REST查询必须通过签名令牌签名的方式进行认证，该过程通过对按小写的字母顺序排序的查询参数使用私钥进行签名。签名应在查询字符串的URL编码前完成。
换言之，你不能将共享密钥作为查询串的一部分进行传递，而应使用它进行签名。签名后的查询串看起来应该是这样的：
GET /object?timestamp=&apiKey=Qwerty2010&signature=abcdef
被签名的串是“ "/object?apikey=Qwerty2010&timestamp=" ”，而签名是应用API密钥的私钥所得到的HMAC-SHA256哈希值。
他承认在大部分类REST的RESTFul API方案中，认证几乎肯定被看作是次要的问题。然而，在文章的结论中他建议读者“最好参照别人的例子，而不应自创认证模式”。
InfoQ的读者们，请别吝惜你的意见。最初的博文地址是：.
查看英文原文：
# RESTful登录(基于token鉴权)的设计实例
RESTful Web Service 的安全(token 认证方式)以及性能
RESTful接口签名认证实现机制
RestFul接口的安全验证事例
相对安全的 restful api - 数据传输篇
App开放接口api安全性—Token签名sign的设计与实现
自动化运维工具Saltstack学习笔记(salt-ssh/salt-api/salt-syndic)
yii2框架-restful的请求参数token验证(二十三)
框架中的RESTful api快速领悟(下):token的设置
没有更多推荐了，迪泸分享 |
在小程序里做门窗SaaS营销管理系统？「直赢店」想要赋能中小型厂家
在小程序里做门窗SaaS营销管理系统？
智能阅卷系统切入K12教育
要做线下广告的“零售商”
「中天易观」提供三维GIS服务
「众签」从电子合同延伸智能仲裁
1. 在小程序里做门窗SaaS营销管理系统？「直赢店」想要赋能中小型厂家
在家居家装万亿级的大盘子里，大家都想分一块蛋糕。「直赢店」正是一款面向门窗行业中小型厂家的营销管理小程序，由新格尔门窗行业软件服务商和微盛小程序共同开发。
直赢店小程序支持厂家、经销商和业主三方使用这套营销管理系统。
在厂家端，关键词是大数据。①直赢店支持厂家进行产品展示及实时更新库存，并根据大数据技术预测产品销量指导经销商经营。②通过精准投放面向全国招募经销商，手机端即可帮助免费开通门店端，降低招商成本。③实时查看所有经销商数据和业务员每日拜访客户数据，区分优质经销商，掌握业务员工作状态，且不受业务员离职影响。
在经销商端，关键词是获客。直赢店小程序承载着产品展示、获取访问业主的手机号码和产品浏览记录、一键发布营销活动以及下单确认等功能。在获客方面，直赢店能够基于位置服务（ LBS ）的大数据分析，触达门店 5 公里内有潜在装修需求的客户，进行精准投放，获客成本将低至 5 分钱。
在业主端，门窗是大件且低频的消费品，业主往往缺乏购买经验和产品知识。直赢店的解决方案是体验式消费，包括门窗类产品详情展示、价格透明化、各类营销活动。
目前直赢店的获客渠道集中在：家居建材的展会、大数据广告（微信的社交广告）以及付费的品牌推广，产品收费为每年 2980 元起。
2. 智能阅卷系统切入K12教育，「七天网络」获近 2 亿人民币 B 轮系列融资
据悉，教育数据服务公司「七天网络」近日完成 B 轮系列融资，获得共计约 2 亿元，由万融资本、国际创投、创新工场、高思教育、智明星通等机构投资，财务顾问由本初资本担任。本次融资主要用于升级 AI 技术及扩大团队规模。关于前几轮融资详情，七天网络暂时不作披露。
从 2013 年创立以来，七天网络已经开发了智能阅卷系统、教师评阅系统、新高考教务管理系统等系列产品，支持从多个维度生成可视化数据图表和考试分析报告，服务学校的教学研究和老师的精准授课。整套 SaaS 系统的年费在 5 - 10 万之间，根据考试频率和人数而定。
在阅卷系统之外，七天网络延伸了考后服务。每次考试后，学校和老师都可以查看考试报告，掌握学生整体的学习水平；学生也可以在公众号上获取个性化的学情分析和智能错题本，按次计费。
关于投资逻辑，资方创新工场的执行董事张丽君认为：“提升教学效率的核心在于获取结构化可分析的教学数据。在“教”、“学”、“练”、“测”四个环节中，“练”和“测”则相对容易获取结构化数据。七天网络从智能阅卷切入，降低阅卷的时间和人力成本，并将测评数据生成成绩报告和学情分析输送到 B 端和 C 端，从数据来看，其模式行得通。”
3. 要做线下广告的“零售商”，「易售科技」获数千万元 Pre-A 轮融资
据悉，互联网广告运营管理平台“易售科技”近日获得数千万元 Pre-A 轮融资，资方为鼎心资本，伯骐资本担任财务顾问。易售成立于 2016 年 7 月，曾获得广告行业个人的 500 万元天使轮融资。据悉，本轮资金将主要用于加强产品、研发投入，搭建销售渠道以及引进人才等。
易售的思路是将传统屏幕更换为联网的电子屏，接入统一的运营平台，进行集中竞价、投放、管理。目前在全国范围内，易售拥有的屏幕点位有近 40 万，包括交通站台、地面媒体、快递柜面、洗手间电梯间等。
易售会首先升级屏幕硬件，支持实时联网，随时更换广告。其两个主要产品：屏效宝和易信发，分别对接资源方和品牌方，在分散的屏幕资源里接入统一的后台管理系统，也包括了可程序化购买的媒体库、投前数据分析、投中在线监测和投后数据监测服务等。
易售会采取“竞价广告”的形式进行广告零售，品牌方可以在平台内自由选择投放场景、屏幕数量、投放次数等，以较低成本获取线下流量。对不同屏幕，易售会针对用户群体、投放区域和实用场景打上标签，品牌方能按需一键投放、自助充值扣费，由此，中小企业也能更灵活地加入到线下广告。
4. 瞄准百亿元级智慧城市市场，「中天易观」提供可基于云端的三维GIS服务
随着GIS应用的深入，人们越来越多地要求从真三维空间来处理问题。三维GIS是布满整个三维空间的GIS，与传统的二维GIS或2.5维GIS明显不同，尤其体现在空间位置和拓扑关系的描述及空间分析的扩展上。
中天易观则基于以前在军方的研究背景和积累，自主研发了一整套包含数据输入、数据处理、数据解译分析的一体化三维解决方案。据悉，这套一体化三维解决方案最大的特点是有较强的通用性，不仅可以应用于如安防、市政等大场景，也可以应用于人体建模等小场景。另外，中天易观总经理颜孙震强调，由于核心算法是源代码，因此整套算法可以布置在任何平台上，包括云端。
现在中天易观主要提供本地化或私有云部署服务，未来中天易观还可以为其他客户提供基于云端的SaaS服务，进一步提升客户扩展和服务效率。同时，中天有计划向合作伙伴开放其三维建模能力以及卫星影像判读和解析能力
中天易观现在已有客户包括油田、海关、政府安防部门等，颜孙震表示，除了继续拓展可以用的行业，他们还在和客户进行深度合作，在三维模型基础上提供GIS服务，以挖掘垂直行业应用的深层价值。
5. 「众签」获7000万元A1轮融资，从电子合同延伸智能仲裁
据悉，“众签”已完成7000万元A1轮融资，由清志杰资本领投，点亮资本、分布式资本等跟投。
众签定位给企业提供电子合同服务，包括提供身份鉴证、数字证书签发、合同管理、在线签署、证据保全、合同验签、司法鉴定等一系列服务。
合同签署的根本目的是为了降低违约率，确保合同的有效性和安全性非常关键。对于电子签名平台来说，如何通过技术手段，将合同内容、签署人、时间进行固化，保证合同的法律效应是关键。
众签的做法是，联合多家司法鉴定机构、公证机构、仲裁、法院等权威机构构建联盟区块链，相当于成立一个证据存取证的联盟。通过借助区块链分布式存储、不可篡改的特点，将文件通过不可逆的哈希算法生成字符串存在平台，同时存放在合作的司法鉴定机构、公证机构、仲裁机构处，实现证据固化。
当合同出现纠纷时，有两种法律途径——诉讼、仲裁。其中，诉讼周期较长，还会出现上诉后审判结果不一致等情况，而仲裁相对流程较短，一次裁定结果不再更改，所以大多数企业会选择仲裁。此前，仲裁需要人工审核，现在众签通过跟仲裁委对接，能够实现机器智能仲裁，提升人效。
此外，由于合同资产保存在平台上，所以企业客户很在乎电子合同平台的持久性。“众签将电子合同经加密后存放在了多个节点，即使将来第三方电子合同服务平台关停，客户也不用担心合同的安全，”于潇表示。
本轮融资后，众签将继续发力市场拓展和有关可信合同的产品研发，其长远目标是数字经济方向。
责任编辑：
声明：该文观点仅代表作者本人，搜狐号系信息发布平台，搜狐仅提供信息存储空间服务。
今日搜狐热点您好，欢迎来到中国云签！
电子合同终于取代纸质合同Electronic beyond paper
来到真正的电子合同时代Contract management era
多重保障手段，让您满意放心Guarantee to let you rest assured
还没有您的专属签约室吗？
动动手指，马上行动吧
电子合同国家标准制定
《电子合同订立流程规范》
进入21世纪以来,互联网和电子商务在我国得到了飞速发展。随着信息化进程的加快基本所有业务都可以在网…
国家可靠电子签名工程
可靠电子签名工程是“国家电子认证服务业十二五发展规划”中确定的两项重大工程之一。工信部于2012年6月启动了…
专利及知识产权
国内首创,重视自主技术创新
中国云签（买卖网电子商务公司）自成立伊始就十分重视自主技术创新，长期致力于电子认证与电子签名领…
电子合同行业标准规范
《中华人民共和国电子签名法》
合同是交易的桥梁，是商务活动的核心。随着电子商务的发展，利用互联网进行相对复杂商务合同谈判的需求呈现不…
对访问者隐私保护的许诺
我们以本隐私声明对访问者隐 私保护的许诺。以下文字公开 我站（www.yunsign.com）对信息收集和使用的情况…
第三方电子合同公共服务平台
中国云签（www.yunsign.com）（由江苏买卖网电子商务有限公司负责管理运营）是中国独立的第三方电子合同公…
工业和信息化部
最高人民法院
工商行政管理总局
国家标准化管理委员会
南京总部：南京市江宁开发区东吉大道1号
南京座机： 025--
北京分部：朝阳区朝外大街甲6号万通中心A座
北京座机： 010-
深圳分部：南山区科技园中区科兴科学园B栋1单元701
深圳座机： 1
上海分部：黄浦区北京东路666号科技京城西楼30楼
上海座机：021-
服务热线：400-025-5858
ceo反馈信箱:ceo#mymaimai.net
扫一扫，关注“中国云签”！最新新时代·新征程 2018天威诚信集团年会周圆满落幕
最新2017（第三届）中国互联网法治大会开幕、“法律+科技”成为时代话题
安全可信的电子合同服务
以实名认证服务为基础，数字证书为认证结果的载体，为业务系统建立了一个网络中真实的个人或企业身份信息。
便捷高效的电子合同线上签署流程。
电子签名保障操作过程有效抗抵赖。
区块链存证与第三方存证相结合。
通过可靠电子签名来确定是本人对合同进行的签署操作。
完善的仲裁、公证等法律服务。
丰富的行业应用场景
制造/零售业
建筑/房地产
合作伙伴介绍SaaS建站平台友好速搭,集成沃通SSL证书API接口-沃通WoSign SSL证书!
SaaS建站平台友好速搭 集成沃通SSL证书API接口
企业级SaaS建站服务平台友好速搭，集成沃通API接口，为用户提供服务。友好速搭是基于SAAS云服务的快速建站工具，专注电商建站领域，目前已经上线沃通服务，后续将集成级别更高的其他SSL证书产品。
网络安全环境堪忧，HTTPS加密保驾护航
国内网络安全环境堪忧，流量劫持、数据窃取等安全事件经常发生，核心原因就在于目前互联网常用的HTTP协议是非常不安全的明文传输协议，没有加密和验证机制，任何通过该协议传输的数据都以明文的方式在网络中“裸奔”，任何信息数据都处在被窃听、篡改、冒充这三大风险之中。（参考：）
HTTPS加密是目前业界公认最成熟的数据传输安全保障技术。SSL协议基于公钥密码学理论实现了服务器身份认证、数据加密保护以及数据完整性校验等功能，为服务器提供认证，防止DNS劫持，加密传输数据并验证数据完整性，防止数据泄露或数据篡改。
友好速搭集成API接口，一键实现HTTPS加密
作为新一代建站基础设施服务商，友好速搭在数据安全保护方面的意识领先，率先考虑到客户数据传输的安全问题，并积极寻找解决方案。为了给客户提供完善的服务体验，友好速搭希望集成权威CA的SSL证书服务到自己的平台上，方便客户在线选购SSL证书，一键部署HTTPS加密，实现建站+安全的一站式解决方案。
沃通SSL证书是国内率先提供SSL证书API接口服务的权威CA机构，希望通过接口服务，让用户在不同平台也能获取到全球信任的沃通SSL证书产品。目前，沃通CA已经成功通过API接口服务模式，为微软Azure云、阿里云、360云等多个大型云服务平台提供SSL证书服务。
沃通CA成熟的接口服务模式和项目实施经验，获得了友好速搭的认可和信赖，双方快速达成合作意向，并在2个月内完成技术对接并正式上线。沃通SSL证书上线后，在友好速搭平台上创建的网站，在绑定独立域名后，只需一键点击，就可完成SSL证书的颁发和部署，整个过程仅需几分钟，并且完全免费，零成本保障网站数据传输安全。
沃通SSL证书增长迅猛，积极推动行业合作
沃通CA(www.wosign.com)是全球信任的权威数字证书颁发机构，近年来在中国SSL证书市场的增长势头迅猛，短短一年间市场份额从行业前三猛增到行业第一，迅速赶超众多国外老牌巨头，成为SSL证书领域竞争力最强的中国品牌，目前已经为全球180多个国家和地区的用户提供了SSL证书产品和服务，其中包括神州专车、高德地图、长安福特等众多知名品牌。推出SSL证书API接口服务后，沃通CA积极与各行业融合，通过合作伙伴的平台为各领域用户提供HTTPS加密和SSL认证服务，进一步推动了我国HTTPS加密的普及应用。
文章关键词：SaaS建站平台,友好速搭,沃通SSL证书API接口,HTTPS加密
本文首发沃通CA官网，转载请保留文章链接：http://www.wosign.com/news/saas-ssl.htm
相关主题： |
全国咨询热线：
全国咨询热线：
地址：中国深圳市南山区南海大道1057号科技大厦二期A栋502
24小时客服电话：133
24小时技术支持电话：133