私は現在、AJAXベースのサイトの認証に取り組んでおり、この種のベストプラクティスについて誰かが推奨事項を持っているかどうか疑問に思っていました。
私の最初のアプローチは、Cookieベースのシステムでした。基本的に、認証コードを使用してCookieを設定し、すべてのデータアクセスでCookieが変更されました。また、認証に失敗した場合は常に、ハイジャック犯を防ぐために、そのユーザーによるすべてのセッションの認証が解除されました。セッションをハイジャックするには、誰かがログインしたままにしておく必要があり、ハッカーはセッションをスプーフィングするために最後のCookie更新を送信する必要があります。
残念ながら、AJAXの性質上、複数のリクエストをすばやく行うと、順序が狂ってCookieが間違って設定され、セッションが中断される可能性があるため、再実装する必要があります。
私のアイデアは次のとおりです。
- 明らかに安全性の低いセッションベースの方法
- サイト全体でSSLを使用する(やり過ぎのようです)
- ssl認証されたiFrameを使用して安全なトランザクションを実行します(jqueryのハッキングを少し行うことで、これが可能であると思います)
問題は転送されるデータではなく、唯一の懸念は、誰かが自分のものではないアカウントを制御する可能性があることです。
明らかに安全性の低いセッションベースの方法