我正在使用 couchDB,并且开始实施身份验证/授权。我发现最好和最简单的解决方案是通过 ssl 连接传递凭据,但我不太确定这种策略是否能确保我的网站真正安全。
我可以保留这个策略,购买一个真正的 ssl 证书并在生产中部署它吗?
问问题
106 次
2 回答
1
根据我最初的评论,使用 SSL 传递凭据将确保传输安全,因此该方面是有效的。
需要牢记的一个更重要的想法是,安全性涵盖了多个层次,而这些凭据仅构成整个系统的一部分。作为一个非常简单的示例,您可以让整个站点运行在人类可用的最安全的加密上,但充斥着 SQL 注入攻击。
考虑每个级别的“安全性”,而不仅仅是一个级别。
于 2013-10-28T16:33:55.847 回答
1
我会调用 _session 来获取身份验证令牌/cookie。然后将其用于后续授权。它会在 10 分钟内到期,但您可以在配置中提高它。当然,在任何解决方案中,您的“真正的 SSL 证书”绝对仍然是一个很棒的计划 :-)
于 2013-09-04T15:53:31.783 回答