我正在做一个稍微深奥的项目,我们需要在一个小型/慢速嵌入式微型(无操作系统)中实现一些基本身份验证。该设备通过其串行端口提供几个网页,然后通过我们无法控制的一些硬件通过 IP 网络喷射。
服务器代码,例如它(想想饥饿饮食中的nweb),接受 HTTP GET/POST 请求并吐出页面并相应地更改其设置。
我们需要某种方式来验证用户登录/会话,以便我们不允许人们查看数据或更改他们不应该更改的设置。
该设备不打算直接暴露在互联网上或 100% 无法受到严重黑客攻击(网络安全/分离是客户的问题*),安全要求更多的是防止低级别人员接触闪烁灯;)
由于缺乏空间/处理能力(假设我们有大约 2k 的代码空间并且没有多少 MHz),我们无法实现 SSL 之类的东西,但最好至少比沼泽标准HTTP 访问控制好一个.
我们可以处理 GET、POST 和设置/读取 cookie 数据。我们的微机确实拥有一个不错的加密标准硬件随机数生成器,如果它有任何帮助的话。
如果您只想防止访问:任何时候有 GET 请求,查找密码的 cookie。如果未设置 cookie,则发回一个 HTML 登录表单,该表单将密码发送到服务器。如果服务器使用正确的密码获取 POST 数据,则发回“登录正常”页面,该页面将 COOKIE 设置为密码。然后任何登录的人(显然使用正确的密码)都会在所有未来的 GET 请求中设置 cookie。任何从未登录过的人都会看到登录页面。您可以通过设置两个 cookie 值来“隐藏”它:一个随机数,以及随机数和密码的 XOR。这样,客户端将无法弄清楚 cookie 中的值是什么。如果您进一步使用客户端 IP 对其进行异或运算,客户端将无法将 cookie 复制到其他计算机。
如果您想进行简单的加密,您可以在 javascript 中使用 XMLHTTPREQUESTS。让服务器使用简单的 puesdo 随机数生成器(或简单的 XOR 混淆等)加密数据,并让客户端在 javascript 中反向执行相同的操作。您可以让服务器加密除 index.html 之外的每个页面,并且在 index.html 中您可以拥有它,以便它在 javascript 中 XMLHTTPREQUESTS 其他页面并解密它们,然后使用 innerHTML 或其他方式将内容放入 div 中。