2

我正在构建一个没有服务器端身份验证的 API。将为会话生成一个唯一的密钥(假设密钥很长且无法猜测),但不会在客户端上设置 cookie。客户端可以是带有 AJAX 的 Web 浏览器、使用 CURL 的 PHP 脚本或桌面应用程序。我想象的正常交易过程将是:

初遇

  1. 客户端发出初始请求,调用 start_session 方法
  2. 服务器生成一个密钥并将其与一些初始数据一起返回
  3. 客户端存储密钥供以后使用(例如 JavaScript 使用密钥设置 cookie)

下一个请求

  1. 客户端再次请求服务器,调用一些 set_data 方法,提供原始会话密钥,以及大量私人数据,如信用卡号、法律案件信息等。
  2. 服务器响应,并且响应成功消息

另一个请求

  1. 客户端再次请求服务器,提供原始会话密钥,并调用一些 get_data 方法
  2. 服务器以某种格式(例如 XML、JSON 等)响应所有私有数据

会话密钥如果不使用,将在 20 分钟后过期,并且所有 API URI 都需要 SSL

我的担忧/问题是:我是否需要担心客户端是否泄露了会话密钥。如果没有身份验证,我相信原始请求者会将会话密钥保密。这是常见/安全的做法吗?

4

1 回答 1

1

除非您始终使用 HTTPS,否则您很容易受到 HTTP 嗅探的攻击,例如Firesheep。

Eve,如果您确实使用 SSL,如果客户端页面不是 SSL 或包含任何非 SSL Javascript(或同一域中的非 SSL 框架),您仍然很容易受到攻击(您无能为力)

要回答您提出的问题,这完全取决于您的情况。
编辑:您应该在文档页面中警告您的客户(开发人员)正确处理密钥。
除此之外,这取决于客户的平均技能水平。
您可能应该有某种免责声明(我不是律师)。

应该没问题吧。

于 2010-11-29T01:22:10.843 回答