0

重複の可能性:
Java 認証セキュリティ

アカウントが作成されるアプリの中央adminインスタンスがあります。judgeこの審査員アカウントを使用するにはjudge、別のコンピューターからのアプリのインスタンスが中央で認証される必要がありますadmin。アプリのuserインスタンスが に何かを送信しadmin、審査員の 1 人にプッシュします。

審査員は、管理者でログインして認証できる必要があります。主問題は、すべての人が同じネットワーク上にあり、SSL を使用していないため (私はこれを制御できません)、誰かが裁判官が管理者に送信するものを盗聴し、そのデータを自分で送信して、裁判官として認証される可能性があることです。

4

1 に答える 1

2

明らかに、SSL を使用するのが正しい方法です。

それができない場合は、リクエストのコンテンツを自分で暗号化し、一度しか使用できないようにすることができます。

次のことを行う必要があります。

  • ユーザー名、パスワード、およびタイムスタンプ/ランダム値を含む暗号化されたトークンを生成します。stackoverflow での文字列の暗号化/復号化操作に関する良い例がいくつかあります。
  • サーバーは、各トークンが一度しか使用できないことを保証する必要があります (例: マップを保持する)
  • トークンは、限定された短い間隔の後に期限切れになります...

これはハッキング不可能ではありませんが、通常のスニファーが資格情報を再利用するのを防ぎます。

于 2012-09-08T21:38:47.940 に答える