正在设计 API, 先把想法放出来, 求大家拍砖

2014-10-30 13:32:50 +08:00
 xoxo

大家都知道, @xoxo 同学是代购ssl的黄牛, 但手工当黄牛累啊, 于是就有了https://www.sslcertificate.cn , @xoxo 只需把code发给用户, 用户就可以自己去申请证书了; 然后有同学说想把服务接入到自己的平台, 于是就有了 https://www.sslcertificate.cn/api/ .

初步想到的方API案是:

  1. 第三方平台通过appid/appkey 签名请求 sumitCSRhttps://www.sslcertificate.cn/api/ , 提交code、csr、域名、callback、第三方唯一id(nonce), 我这边就成功下单子了;
  2. 在单子有结果(success、rejected)后, 我这边通过第三方平台的appid/appkey, 向第三方平台给的callback发起notifyDV(notify domain validation) 请求, 将域名验证的信息页面和nonce通知回callback;
  3. 用户验证通过后, 证书一般在30秒内就颁发, 我会在证书颁发后同样通知回callback(notifyCERT);
  4. 所有需要异步通知的操作, 我设想是未来7天内, 每10分钟重复通知一次, 直至返回{code:200,data:{msg:“success”}}为止 ` 这样问题来了, 假如第三方平台不知道nonce是啥怎么办? 我设计上是想把nonce当做第三方平台的唯一订单id处理, 不是随机生成的. 还有就是这样的api设计上有没有潜在的问题? 比如安全问题啥的.
3054 次点击
所在节点    云计算
2 条回复
cnxh
2014-10-30 18:40:50 +08:00
1、第三方平台给nonce(订单号)就给他返回,不给通知的时候就不返回(让他自己对应去)
2、签名的时候所有参数(queryString/get/post等等等)排序后都参与到生成签名串的计算中;
第三方平台预存金额;
域名重复时处理

期待楼主更多ssl活动
ahu
2014-11-10 10:08:36 +08:00
怎么接入?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/142587

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX