我对这些回调的工作原理有点困惑。
我看到一些 REST API 要求回调 URL 主要用于身份验证(Oauth),如果我理解正确,API 会在完成后调用后端实现的端点。但是,如果这是一个网站并且 API 调用一个后端,它将如何调用用户触发该 API 调用的特定会话?
我们是否会生成一些唯一的 ID 并使用它来识别每个会话?
除了身份验证之外,是否有可能实现类似的功能?
对不起,如果这看起来微不足道,但我已经尝试了好几个小时了。
提前致谢! :)
P.S:我正在使用 FastAPI 在 python 中进行尝试。
【问题讨论】:
是的,您通常包含一个标识“交易”的密钥。一个是预共享的(对于 webhook,其中一个 API 在事件发生的特定时间进行回调,并且请求不是对您发起的某事的响应),或者是您在重定向后生成以识别会话本身的一个您自己的应用程序之外的用户。
remote server makes a request to /webhooks?key=foo
.. 或通常发生的情况,包括作为 HTTP 标头的签名,该签名基于已交换的密钥对消息进行签名。
参见例如Stripe's webhook documentation for an example of how the request is signed。
但是,如果用户被重定向回您的应用程序(这是许多身份验证方案的流程),则重定向回给用户的客户端 - 他们的会话仍将处于活动状态。在这种情况下,重定向将包含来自身份验证系统的会话标识符,然后您可以在后端使用该标识符来验证用户是否实际通过了身份验证以及使用何种授权。
/foo -> redirect -> https://remote/auth
(enters authentication information)
https://remote/auth -> redirect -> /authenticated?secret_key=foobar
【讨论】: