クライアント側からサーバー側に安全なデータを渡すためのベスト プラクティスを探しています。
たとえば、クライアント側の認証があり、クライアント側からサーバー側のプライベート API を呼び出す必要がある場合がありますが、サーバー側でそれらの呼び出しを実行するためにユーザーが認証/承認されていることを確認する必要があります。ユーザーが認証されているかどうかはブラウザだけが知っています。
ありがとうございました!
質問する
3447 次
4 に答える
3
SSLを使用していますか?そうであれば、ある種の秘密のユーザー識別子 (またはパスワード) をサーバーに渡すことができます。サーバーはチェックを実行して、すべてが正常であることを確認し、プライベート サーバー API への呼び出しを実行できるようにします。
SSL は、RSA を使用してエンドツーエンドの暗号化を実行するセキュア ソケット レイヤーです。エンドツーエンドの暗号化により、送信されるすべてのデータが確実に暗号化されるため、SSL を使用していない場合のように、SSL 経由でパスワードを送信することを心配する必要はありません。
于 2009-09-22T21:02:23.587 に答える
0
サーバーにアクセスせずにJavaScriptによって認証が行われている場合は、間違っています。どのブラウザ コードも簡単に改ざんできます。ブラウザで実行されるコードは信頼できません。ベスト プラクティスは、認証をサーバーに送信し、そこで認証することです。それに基づいて、トークンを使用してサーバーに対して検証したり、資格情報を毎回送信したりすることもできます。
サーバーへの送信時にセキュリティが心配な場合は、SSL を使用してください。
于 2009-09-22T21:07:02.163 に答える
0
- SSL を使用する
- クライアント側の証明書を使用する
- クライアントとの接続ごとに一意のセキュリティ トークンを使用する (サーバー側セッションでセキュリティ トークンを保存し、クライアント側に保存された値と比較する)
于 2009-09-22T21:10:07.753 に答える
0
- SSL。
- OAuth、OAuth2、openID、派生物など、ニーズに合ったソリューションがたくさんあります。ただし、ユーザーのパスワードをクライアント側に保存している場合は、「サーバーが知らない」よりもはるかに大きな心配があります。クライアントが認証を偽造するためのすべてのツールを持っているためです。
- あいまいさによるセキュリティは悪いマントラです。
于 2013-04-23T14:37:44.630 に答える