我正在寻找将安全数据从客户端传递到服务器端的最佳实践。
例如,我有一个客户端身份验证,有时我需要从客户端调用服务器端的私有 API,但我需要确保用户经过身份验证/授权以在服务器端执行这些调用,并且现在只有浏览器知道用户是否经过身份验证。
谢谢!
3447 次
4 回答
3
你在使用 SSL 吗?如果您是,那么您可以将某种秘密用户标识符(或密码)传递给服务器。服务器可以执行检查以查看一切是否正常,并允许您执行对私有服务器 API 的调用。
SSL 是使用 RSA 执行端到端加密的安全套接字层。端到端加密确保发送的任何数据都经过加密,因此您不必担心通过 SSL 发送密码,就像您不使用它时所做的那样。
于 2009-09-22T21:02:23.587 回答
0
如果您的身份验证是通过 javascript 完成的,而没有转到服务器,那么您做错了。任何浏览器代码都可以很容易地被篡改。您不能信任在浏览器中运行的代码。最佳做法是将身份验证发送到服务器并在那里进行身份验证。基于此,您可以执行诸如使用令牌对服务器进行验证之类的操作,甚至每次只发送凭据。
如果您在发送到服务器时担心安全性,请使用 SSL。
于 2009-09-22T21:07:02.163 回答
0
- 使用 SSL
- 使用客户端证书
- 为与客户端的每个连接使用唯一的安全令牌(将安全令牌保存在服务器端会话中并与客户端存储的值进行比较)
于 2009-09-22T21:10:07.753 回答
0
- SSL。
- 有很多解决方案可以满足您的需求,包括:OAuth、OAuth2、openID 和衍生产品。但是,如果您在客户端存储用户密码,那么您有比“服务器不知道”更大的担忧 - 更重要的是客户端拥有所有工具来伪造他的身份验证。
- 默默无闻的安全是一个糟糕的口头禅。
于 2013-04-23T14:37:44.630 回答