0

我对我的想法有一个悬而未决的问题。这里有一些背景:我正在为我工​​作的公司开发一个 PHP 应用程序。它只供其员工使用。每个员工都可以访问我们的 SharePoint 门户。基本上,该应用程序必须仅供有权访问我们的 SharePoint 的人访问。

我有一个想法使用 SP 来授权我的应用程序中的用户。授权将基于使用 CURL 从 SP(所有用户一个)下载安全文件。如果正确下载了文件,则您已登录。如果没有,则不允许您访问该应用程序(当然会有异常处理)。因此,每个有权访问 SP 的人都可以访问该应用程序。应用程序和 SP 位于不同的服务器上。

你怎么看这个想法?会安全吗?这是个好主意吗?

我列出了一些我想到的优点和缺点......

优点:

  • 易于开发
  • 访问控制由 SharePoint 持有
  • 用户不必学习新的登录名和密码
  • IMO 它应该是安全的,因为应用程序的数据库中不会存储任何密码

缺点/漏洞:

  • 文件被意外删除的可能性

干杯,子比

4

1 回答 1

0

这不是一个好主意。您基本上是在信任客户端进行身份验证,这非常糟糕。您必须假设客户端代码已完全受到攻击,并且已被攻击者修改以绕过您的控制。

一般来说,“自己动手”的安全性是灾难的根源。您应该利用 PHP 的内置会话跟踪机制。如果您还不知道如何使用它,您可以在这里找到一个很好的教程。您的用户将不得不再次进行身份验证,但不幸的是,这对于适当的安全性是必要的。

另请记住,使用您建议的解决方案可能没有“员工”之外的访问控制。如果您需要提供基于用户 ID、角色或组来限制用户访问资源的能力,这将在未来受到严重限制。如果你在游戏的这一点上做得好,你将来会更快乐。

于 2013-05-16T00:17:00.367 回答