V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Recommended Services
Amazon Web Services
LeanCloud
New Relic
ClearDB
xoxo
V2EX  ›  云计算

正在设计 API, 先把想法放出来, 求大家拍砖

  •  
  •   xoxo · 2014-10-30 13:32:50 +08:00 · 3168 次点击
    这是一个创建于 3668 天前的主题,其中的信息可能已经有所发展或是发生改变。

    大家都知道, @xoxo 同学是代购ssl的黄牛, 但手工当黄牛累啊, 于是就有了https://www.sslcertificate.cn , @xoxo 只需把code发给用户, 用户就可以自己去申请证书了; 然后有同学说想把服务接入到自己的平台, 于是就有了 https://www.sslcertificate.cn/api/ .

    初步想到的方API案是:

    1. 第三方平台通过appid/appkey 签名请求 sumitCSRhttps://www.sslcertificate.cn/api/ , 提交code、csr、域名、callback、第三方唯一id(nonce), 我这边就成功下单子了;
    2. 在单子有结果(success、rejected)后, 我这边通过第三方平台的appid/appkey, 向第三方平台给的callback发起notifyDV(notify domain validation) 请求, 将域名验证的信息页面和nonce通知回callback;
    3. 用户验证通过后, 证书一般在30秒内就颁发, 我会在证书颁发后同样通知回callback(notifyCERT);
    4. 所有需要异步通知的操作, 我设想是未来7天内, 每10分钟重复通知一次, 直至返回{code:200,data:{msg:“success”}}为止 ` 这样问题来了, 假如第三方平台不知道nonce是啥怎么办? 我设计上是想把nonce当做第三方平台的唯一订单id处理, 不是随机生成的. 还有就是这样的api设计上有没有潜在的问题? 比如安全问题啥的.
    第 1 条附言  ·  2014-10-31 13:30:18 +08:00
    demo

    <script src=".js"></script>
    第 2 条附言  ·  2014-10-31 16:39:30 +08:00
    2 条回复    2014-11-10 10:08:36 +08:00
    cnxh
        1
    cnxh  
       2014-10-30 18:40:50 +08:00
    1、第三方平台给nonce(订单号)就给他返回,不给通知的时候就不返回(让他自己对应去)
    2、签名的时候所有参数(queryString/get/post等等等)排序后都参与到生成签名串的计算中;
    第三方平台预存金额;
    域名重复时处理

    期待楼主更多ssl活动
    ahu
        2
    ahu  
       2014-11-10 10:08:36 +08:00
    怎么接入?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1409 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 17:38 · PVG 01:38 · LAX 09:38 · JFK 12:38
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.