1. дома
  2. Вопрос и ответ
  3. Как аутентифицировать логин на двух разных серверах?

Как аутентифицировать логин на двух разных серверах?

2012-04-06 8 views
0

Я разработал приложение CMS, которое хранит все файлы клиента на своем сервере, но выполняет обработку на моем компьютере (т. Е. Сохраняя ценный код, который я разработал, не допуская, чтобы пользовательский код делал мой сайт уязвимым). Теперь проблема заключается в том, что пользователь имеет панель управления для редактирования своего веб-сайта, это размещается на их веб-сайте, это 1 страница, но данные/сеансы входа всегда находятся на моем веб-сайте.Как аутентифицировать логин на двух разных серверах?

Я думал о том, чтобы сделать страницу редактирования на сайте доступной только в том случае, если действительный токен действителен, и оба сайта могут иметь одинаковый способ разработки и проверки одного и того же токена. Является ли это приемлемой безопасностью, я имею в виду, что единственный эксплойт, о котором я могу думать, заключается в том, что URL-адрес каким-то образом нюхался и использовался независимо в тот же период времени, что токен все еще действителен. Проверка заголовков - дополнительный дополнительный бит безопасности, но их можно подделать, чтобы это не было абсолютным решением. Я не знаю, как легко обнюхать веб-трафик пользователей, будет ли этот метод одобрен?

Заранее спасибо.

источник

2012-04-06 Ally

ответ

1

Ну, обнюхивающие атаки легко победить, просто зашифровав ваш транспорт (т. Е. Используя SSL), если вы также проверяете сертификаты (чтобы победить нападение «человек в середине»).

Я не уверен, что полностью понимаю вашу настройку, но похоже, что вы должны вызвать страницу редактирования на ваш серверный сервер, передав ей токен для аутентификации. Это то, что вы намеревались, или ...?

источник

2012-04-06 22:48:20

+0

Спасибо за ответ. SSL невозможен, хотя из-за использования сервера клиентов он может не иметь функций SSL. Страница редактирования вызывается на мой серверный сервер да, хотя основная проблема заключается в том, что я не хочу, чтобы злонамеренный пользователь обращался к странице редактирования, так как это может нанести серьезный ущерб веб-сайту клиентов. – Ally

+0

Если вы не можете использовать SSL, вы серьезно ограничиваете параметры безопасности (в принципе вы можете гарантировать атаку MITM или повторную игру). Тем не менее, я хотел сказать, что страница редактирования должна вызывать на ваш серверный сервер, прежде чем принимать * любое * (даже локальное) действие. Это будет подавлять ущерб, хотя и за счет того, что он полагается на стабильность связи между ним и серверным сервером. –

+0

Не совсем уверен, что вы имеете в виду, но спасибо за ответы, которые вы помогли мне задуматься над этим, я думаю, что у меня есть решение, возможно, если я просто использую шифрование rsa для имитации ssl в обоих направлениях. На самом деле, думая об этом, он все еще уязвим для атаки MITM. – Ally

Смежные вопросы

 Смежные вопросы