我正在做一个稍微深奥的项目,我们需要在一个小型/慢速嵌入式微型(无操作系统)中实现一些基本身份验证。该设备通过其串行端口提供几个网页,然后通过我们无法控制的一些硬件通过 IP 网络喷射。
服务器代码,例如它(想想饥饿饮食中的nweb),接受 HTTP GET/POST 请求并吐出页面并相应地更改其设置。
我们需要某种方式来验证用户登录/会话,以便我们不允许人们查看数据或更改他们不应该更改的设置。
该设备不打算直接暴露在互联网上或 100% 无法受到严重黑客攻击(网络安全/分离是客户的问题*),安全要求更多的是防止低级别人员接触闪烁灯;)
由于缺乏空间/处理能力(假设我们有大约 2k 的代码空间并且没有多少 MHz),我们无法实现 SSL 之类的东西,但最好至少比沼泽标准HTTP 访问控制好一个.
我们可以处理 GET、POST 和设置/读取 cookie 数据。我们的微机确实拥有一个不错的加密标准硬件随机数生成器,如果它有任何帮助的话。
- = 真的,客户应该将设备挂在自己的网络上,与其他任何东西物理断开连接或至少防火墙至死。但是,嘿,如果它适用于波音......