1

だから私はサードパーティのウェブアプリに対して認証しようとしています。このサードパーティのWebアプリのドキュメントでは、サードパーティのWebアプリが提供するセキュリティキーを取得し、それをソルトでハッシュすることを提案しています。次に、生成されたソルトを、URLでシークレットとして知られるようになるハッシュされたセキュリティキーと一緒に渡すように求められます。私の理解では、サードパーティのWebアプリはセキュリティキーを使用し、URLで提供されたソルトでハッシュして、URLで渡されたシークレットと一致するかどうかを確認します。これは大きなセキュリティリスクのようです。なぜこれがセキュリティリスクになるのか、そうでないのかを誰かが説明できますか?

ドキュメント http://wiki.kayako.com/display/DEV/Kayako+REST+API

サンプルリクエスト

https://example.domain.com/api/index.php
 ?e=/Module/Controller/Action
 &parameterA=valueA
 &parameterB=valueB
 &parameterC=valueC
 &apikey=d75a00ef-08b6-5b04-5d29-d3b7ca46138a
 &salt=itobgt701t5nat7oor9z4t813edc5t8d
 &signature=MzNiNjk4ZmUyY2FlNjQ5YmRkNjA0YjkyYTQ0NmY5OTQ4MGVkYTIwMzZjMzFkYmJjMzk4MzgzNjNiMzZjYTE4NQ==
4

0 に答える 0