0

我正在尝试找到一个合理的解决方案来通过 API 系统在客户端和服务器之间强制执行身份验证。然而,API 本身不是我的问题,我的问题是浏览器通常支持 cookie 和其他让服务器知道它是谁以及它在做什么的方式,但在任何情况下编写的自定义应用程序不一定总是如此可能的语言。

我看过其他一些问题,答案很有用,例如: 客户端 JavaScript 应用程序和服务器端 HTTP API 之间的身份验证?

不幸的是,我已经想到了这一点,但它并没有实现我所追求的安全级别。我需要建议的是在实现(或可能模拟)一种可在服务器到客户端脚本上使用的 SSL 时采取的方法,其中服务器和客户端不一定支持 SSL。

同时,这需要用于识别客户端。

总而言之,我需要实现一个会话保持系统和一个可以与 Apache 和 PHP 一起使用的数据加密系统,以及一个在任何设备上运行的以任何语言编写的客户端。

对不起,如果这个问题有点啰嗦。

4

1 回答 1

1

如果不求助于 SSL/TLS,您无法合理地在浏览器和客户端之间获得安全系统。原因是无法信任来自服务器或客户端的信息。由于客户端从服务器运行不受信任的代码,因此您也不能信任页面内的任何 JavaScript 等。

缺少的是一种身份验证方法。SSL/TLS 通过在浏览器中使用受信任的证书存储来提供此功能。不幸的是,没有(标准化的)方法可以通过脚本语言使用可信存储。您可以尝试使用签名的 Java Applet,但我认为这种方法不会让您受欢迎。

所以基本上你应该求助于使用 SSL/TLS。我不认为有很多浏览器不支持 SSL/TLS,而那些不支持它的浏览器也不太可能支持高级身份验证方法。

于 2012-10-03T18:18:17.477 回答