Web サイトの所有者に XML フィードをサービスとして提供したいと考えています。XML ファイル自体は、Web サービス (.asmx) を介して提供されます。
問題は、クライアントが XML フィード リンクを自由に配布できることです。
そこで、「by Site ライセンス」を作成することを考えました。Web サイトの所有者であるクライアントは、XML フィードを要求する Web サイトを認識してくれます。このようにして、XML フィードが特定の http 要求に提供されます。
PSヘッダーなどを変更できることは知っています...しかし、「物事を遅くする」ためのソリューションを実装して、気分を良くしたいと思います!
より良いライセンス アルゴリズムを教えてください。XML フィードが自由に配布されないようにするにはどうすればよいですか?
それは、ビジネス ルールの内容に完全に依存します。セキュリティを強化すればするほど、個々のサイトが自分自身を認証する負担が大きくなります。クライアント サイトでの処理が簡単になればなるほど、アルゴリズムの複雑さは軽減されます。
ただし、基本的にはシート固有のトークン (つまりパスワード) でコンテンツを保護します。
許可されたクライアントごとに、トークンを生成します。リクエストの一部としてそのトークンを渡すシートを要求します。そのトークンを受け取ったら、それを検証します (適切と思われる範囲で)。それが有効なトークンであることを確認したり、IP 発信者を確認したり、トークンがチャレンジ/レスポンス暗号化フェーズの一部であることを確認したりします。
シート ログインを追跡し、不正使用 (異なる IP アドレスからのリクエスト、高レートでのリクエストなど) を探します。
スタートアップ サービスのレベルでは、機密情報を扱う場合や成功するまでは、高度な技術は必要ないでしょう。
証明書 (PKI インフラストラクチャ) に基づくソリューションを使用できます。顧客に送信する独自の証明書を作成し (各顧客は独自の証明書を取得します)、ここで説明されているものと同様のサーバー側ロジックを使用して確認します: ASP.NET WebForms : PKI 認証の実装。これは ASMX の例ではありませんが、Http モジュールのロジックは同じです。
利点は、サイトから要求された場合にブラウザーが証明書を提示できるため、ユーザーがパスワードを入力する必要がないことです。
もちろん、ユーザーは引き続き証明書をコピーして他のユーザーに送信することができるため、たとえば IP アドレスに基づく何らかの監視メカニズムが必要になります (100% 完全に保証されていなくても、何もないよりはましです)。証明書が死んでいるように見える (あまりにも多くの人が使用している) ことを検出したら、たとえばサーバー上で無効としてマークし、新しい証明書を正当なユーザーに送信できます。
私はそれに近いライセンス システムを持っています。特定の XSL ファイルと特定の Web ページにサービスへのアクセスを提供したいと考えています。これは、URL からのタグ付けされた http に基づいて xsl を処理するためです。これを行うには、リファラー URL を取得し、許可された URL と、要求された xsl ファイルとの比較
私が取り組んだ別のシステムでは、さらに一歩進んで、ストリーム ID (ビデオ ストリーミング用)、ユーザー ID、時刻がキーとして送信され、それらが一致した場合、ストリームが許可されました (1 分で)ウィンドウ)を開始します。
しかし、これらのメソッドはすべて、キー内のパラメーターの順序と、一方向または両方向に送信される非表示のキーと、可視/送信キーの結果の文字列を md5 ハッシュすることで機能します。