1

一天中的好时光!我想知道在抽象网站上实施授权的正确方法。

我有一台运行 mysql 的服务器。在其中一个数据库中,它有一对:登录名+密码。

我还有一个带有“登录表格”的网页。用户的输入(纯文本)我需要传输到后端并检查它。这种纯文本交付让我很头疼。

我知道有各种现代技术,例如 openID 和 OAuth。我不能使用它们。我需要做微小的网络应用程序。

我正在考虑在目标服务器上使用带有散列的盐,但得出的结论是它对嗅探网络毫无用处。然后我决定在客户端使用一些仪器登录+密码对进行修改。但是我能做到这一点的唯一方法是使用客户端 javascript,它可以很容易地被某人阅读并执行所有步骤来准备他的值,这对我的身份验证系统来说是致命的)。

我在理论上真的很有趣,不是现成的解决方案列表,而是对如何正确做的解释。但也欢迎现成的解决方案。先感谢您!

4

1 回答 1

1

如果您想保持简单,我建议您保留标准登录表单(纯文本 POST)并在发布时强制使用 SSL(即在发布 url 中使用 https 而不是 http)。这样,没有人可以嗅探用户/密码信息。

一旦您确认用户/密码有效,然后您使用 cookie 来存储会话 id 并继续使用 cookie 中的会话 id。如果您仍然想确保没有人劫持您的会话 ID,那么您应该从那时起继续使用 SSL 与您的服务器进行通信。即使在所有这些身份验证框架中,第二部分也几乎是标准的(它们依赖于 cookie 来存储临时会话令牌)。

于 2013-10-28T16:36:37.807 回答