大家都知道, @xoxo 同学是代购ssl的黄牛, 但手工当黄牛累啊, 于是就有了https://www.sslcertificate.cn , @xoxo 只需把code发给用户, 用户就可以自己去申请证书了; 然后有同学说想把服务接入到自己的平台, 于是就有了 https://www.sslcertificate.cn/api/ .

初步想到的方API案是:

1. 第三方平台通过appid/appkey 签名请求 sumitCSR 到https://www.sslcertificate.cn/api/ , 提交code、csr、域名、callback、第三方唯一id(nonce), 我这边就成功下单子了;
2. 在单子有结果(success、rejected)后, 我这边通过第三方平台的appid/appkey, 向第三方平台给的callback发起notifyDV(notify domain validation) 请求, 将域名验证的信息页面和nonce通知回callback;
3. 用户验证通过后, 证书一般在30秒内就颁发, 我会在证书颁发后同样通知回callback(notifyCERT);
4. 所有需要异步通知的操作, 我设想是未来7天内, 每10分钟重复通知一次, 直至返回{code:200,data:{msg:“success”}}为止 ｀ 这样问题来了, 假如第三方平台不知道nonce是啥怎么办? 我设计上是想把nonce当做第三方平台的唯一订单id处理, 不是随机生成的. 还有就是这样的api设计上有没有潜在的问题? 比如安全问题啥的.