0

API システムを介してクライアントとサーバー間の認証を強制する合理的な解決策を見つけようとしています。ただし、API 自体は私の問題ではありません。私の問題は、ブラウザが通常、Cookie や、サーバーが誰で何をしているのかをサーバーに知らせるその他の手段をサポートしている場合です。可能な言語。

私は他のいくつかの質問を見てきました.答えは役に立ち ます.

残念ながら、私はすでにそれを考えていましたが、私が求めているレベルのセキュリティを実装していません. 私がアドバイスを必要としているのは、サーバーとクライアントが必ずしも SSL をサポートしていないサーバーからクライアントへのスクリプトで使用できる一種の SSL を実装 (またはエミュレート) する際のアプローチです。

同時に、これを使用してクライアントを識別する必要があります。

要約すると、Apache と PHP で動作するセッション維持システムとデータ暗号化システム、および任意のデバイスで実行される任意の言語で記述されたクライアントを実装する必要があります。

質問が少し長くなっている場合は申し訳ありません。

4

1 に答える 1

1

SSL/TLS に頼らなければ、ブラウザーとクライアントの間で安全なシステムを合理的に確立することはできません。その理由は、サーバーまたはクライアントからの情報を信頼する方法がないためです。クライアントはサーバーから信頼できないコードを実行するため、ページ内の JavaScript なども信頼できません。

欠けているのは、認証方法です。SSL/TLS は、ブラウザ内の信頼できる証明書ストアを使用してこれを提供します。残念ながら、スクリプト言語から信頼できるストアを使用する (標準化された) 方法はありません。署名付きの Java アプレットを試すこともできますが、その方法で人気が出るとは思いません。

したがって、基本的には SSL/TLS を使用する必要があります。SSL/TLS をサポートしていないブラウザーは多くないと思います。また、SSL/TLS をサポートしていないブラウザーが高度な認証方法をサポートする可能性は低いと思います。

于 2012-10-03T18:18:17.477 に答える