クライアントのすべてのファイルをサーバーに保存し、処理は自分で行う CMS アプリを開発しました (つまり、開発した貴重なコードを保持しながら、ユーザーが送信したコードによってサイトが脆弱になることはありません)。問題は、ユーザーが自分の Web サイトを編集するためのコントロール パネルを持っていることです。これは自分の Web サイトでホストされており、1 ページのことですが、ログインの詳細/セッションは常に私の Web サイトにあります。
渡されたトークンが有効な場合にのみ、サイトの編集ページにアクセスできるようにする方法を考えていました。両方のサイトで同じトークンを開発および確認する同じ方法を使用できます。これは許容できるセキュリティですか?私が考えることができる唯一のエクスプロイトは、トークンがまだ有効であるのと同じ時間枠でURLが何らかの形でスニッフィングされ、個別に使用された場合です. ヘッダーのチェックはオプションの追加のセキュリティですが、これらは偽造される可能性があるため、絶対的な解決策ではありません. ユーザーの Web トラフィックを盗聴するのがどれほど簡単かわかりませんが、この方法を使用しても問題ありませんか?
前もって感謝します。