Twitter API -验证Twitter实际上是Twitter

Question

我一直在研究各种API，由于twitter似乎是一个常见的讨论点，因此我将以它为例。

许多API都在实现oAuth，这对于允许服务验证和授权连接到它的应用程序非常有用，然而，从我所看到的情况来看，似乎没有一种方法可以让应用程序验证Twitter是否真的是Twitter (而不是基于中间人的攻击)？我希望看到响应主体的某种签名(使用共享/公钥)，我可以用它来验证twitter是否签署了它。

在这一点上，如果您要对响应进行签名，您会使用什么方法？Im当前正在考虑使用共享密钥对响应正文进行HMAC-SHA1签名。

Answer 1

这就是SSL的“信任”部分所做的事情。

--编辑

我注意到这一点已经被否决了，但重要的是其他读者意识到这是由于个人意见分歧，而不是由于不正确。

Answer 2

在.NET世界中，我们使用WCF，它有许多不同的安全模型，包括对每个消息/响应进行签名(如果需要，还可以对其进行加密)。这增加了不小的开销，但可以在安全模型中给你更多的“信任”。如果需要，您可以切换到使用二进制序列化数据来减少臃肿和消息大小。

我不确定其他Web服务API在该领域提供了什么，但我相信其他人可以根据需要添加更多细节。