有哪些好的建议或资源可以帮助我保护基于单击 URL 的身份验证?
本质上,这种情况是第三方系统通过浏览器接受 HTTPS 请求,您在浏览器中提供身份验证信息(un、pw、authkey 等)。然后,该服务在验证提供的凭据后,将允许或拒绝登录访问。关键是,如果有人点击链接,他们会自动获得访问该第三方系统的权限。
目前,整个过程并没有太多的安全措施(这没什么大不了的,因为该产品尚未投入生产),第三方愿意进行一些修改以确保这一点.
我已经确定我需要对信息进行哈希处理,甚至可能通过 POST 提交它,以防止它在浏览器历史记录中显示信息。但我想谈谈你们将如何处理这样的事情。
[编辑:请求将继续通过 HTTPS 发送。我还修改了以前使用的HTTP是HTTPS]