1

簡単に言えば、私は彼らのウェブサイトでいくつかのものを管理したいと思っていたクライアントがいくつかいます、すべてのウェブサイトはで構築されていnodejsます。

私はそれらのウェブサイト用に小さなCMSを構築しました。

私のウェブサイトのどれもhttpsではないことを覚えておいてください、これが私が起こりたいことです:

  • クライアントが私のWebサイトにアクセスし、パスワードとユーザー名を使用してフォームを送信します
  • 私は彼の資格情報を彼のウェブサイトにhttpPOSTします
  • クレデンシャルに問題がない場合、彼のWebサイトはOK200のjsonを返します

質問:

  • これはそれを行うための最良の方法ですか?
  • どの暗号化方法を使用する必要がありますか?
4

1 に答える 1

0

いいえ、これは最善の方法ではありません。httpを介して認証することは絶対にしないでください。また、サーバーとクライアントの間で暗号化を所有することは絶対にしないでください。SSLの使用を検討してください。サブドメインをサポートするワイルドカードSSL証明書を取得できるため、次のような複数のWebサイトを取得できます。x.example.comy.example.com z.example.com

これは繰り返し発生する質問であり、答えは常に、車輪の再発明や独自のセキュリティホールの導入ではなく、確立されたテクノロジーとアルゴリズムを使用することです。

javascript暗号化とそれをしない理由についてのこの記事を参照してください。

ただし、WebサイトをSSLでラップしている場合は、説明したアプローチを使用でき、安全になります。

于 2013-03-25T10:54:45.533 に答える