HTTP授权和WWW-Authenticate标头

Question

我正在开发REST API，现在，我想介绍一个身份验证/授权系统，经过长时间的研究，我决定用HMAC实现HTTP身份验证，这与Amazon implementation非常相似。但我不明白这个计划是怎么运作的..。例如，亚马逊使用了一个自定义的"AWS“方案...方案名称是任意的吗？(我可以为它定义任何名称，如"foo“、"bar”、"my_api_scheme“等吗？)

我的猜测是可以选择任何类型的方案名称，只要在WWW-Authenticate头中使用相同的名称即可。因此，如果我想创建一个"my_api“方案，我将返回一个401Http响应，其中包含：

WWW-Authenticate: my_api realm="user.mysite.com"

在请求中：

Authorization: my_api hash_signature

我是对的，还是不是那么简单？

Answer 1

是的，你的建议是正确的。您可能应该对hash_signature进行base64编码。你可以在here上找到亚马逊网络服务认证方案的工作原理。

编写您自己的身份验证逻辑是否是一个好主意则是另一个问题。我建议您研究一下像Hawk这样的东西，它可以做您想做的事情，并由主题专家进行维护。