0

Wordpressサイトがあり、基本HTTP認証を使用するサードパーティの検索プロバイダーのAPIを使用しています。

ユーザーが私のサイトで検索すると、JSは検索リクエストをサードパーティの検索プロバイダーに送信します。サードパーティの検索プロバイダーは、認証されている場合は結果を返し、認証されていない場合はユーザー認証を要求します。

現在、顧客は認証プロセスを望んでいませんが、私のページにアクセスするすべてのユーザーは、サードパーティの検索プロバイダー(LDC検索)に対して自動的に認証される必要があります。

私はhttp:// username:password@example.comを介してほとんどのブラウザでこれを達成することができました。これは、any1がパスワードを認識でき、IEでは機能しないため、許容できるソリューションではありません。

まず、認証方法を変更するか、jsまたはリンク(すべてのクライアントにパスを送信する必要があります)を介してパスワードを自動入力しない限り、それは不可能であると強く信じています。間違っている場合は訂正してください。

第二に:サードパーティのプラグインを変更せずに、認証をスキップしたり、パスワードを安全な方法で自動入力したりする(半)安全な方法はありますか?

第三に:これが不可能な場合、認証を作成するための最良の方法は何でしょうか?参照フィルターなどを使用するようにAPIを変更できるように、検索プロバイダーに何を伝えることができますか?よろしくお願いいたします。事前にご協力いただきありがとうございます。ページ:http ://www.gotomidtown.co.uk/ldc-search/

4

1 に答える 1

1

HTTP基本認証では、要求を行う人は認証のためにユーザー名とパスワードを送信する必要があります。つまり、リクエストを行う人はユーザー名とパスワードを知っている必要があります。クライアントにユーザー資格情報を公開せずに、クライアントにHTTPBasicで保護されたサイトへの要求を行わせる方法はありません。URLから非表示にして、エンドユーザーの目立たないようにすることができたとしても、適切な場所(ネットワーク要求検査タブなど)を確認したい人は誰でも表示できます。

必要なのは、サーバーがAPIプロバイダーで認証し、期限付きトークンを受け取るサードパーティ認証の形式です。次に、そのトークンを含むURLにユーザーを送信します。これは、APIプロバイダーが受け入れ、ユーザーが一定の秘密を明かさずに1回認証できるようにします。基本的に、この方法でワンタイムパスワードを使用しています。APIプロバイダーは、このメカニズムを明示的にサポートおよび実装する必要があります。

于 2012-09-03T15:35:53.480 に答える