У нас есть более 100 клиентских сайтов, которые работают на общей кодовой базе, и это все уникальные домены. Мы хотели бы представить дополнительные функции, которые используют конфиденциальную информацию пользователя. Это представляет проблемы бизнеса:Лучший способ защиты вызовов API без SSL?
- Контакта каждого клиент и мандат нам нужна компенсация, чтобы обеспечить сертификат для своего домена
- Ешьте стоимость всех сертификатов и единиц идти вперед
- Ешьте стоимость текущих доменов и повысить будущие цены для покрытия каждого нового сертификата
Теперь важно понять, что здесь нет моего звонка. Я инженер, а не ответственный за принятие решений на высоком уровне, поэтому я хотел бы предположить, что вышеуказанные 3 сценария не являются хорошими (хотя я их и расскажу).
Есть ли схема аутентификации, которую я могу использовать для защиты конфиденциальных API без SSL, или мне не повезло?
Одно из решений, которое я придумал, - это iframing страницу входа на наш основной сайт, на котором есть SSL, и прослушивание обратного вызова yay или nay. Это было встречено с теплым приемом! Поэтому любые ответы, отличные от iframe, приветствуются!
Почему бы просто не отключить дополнительные функции, если соединение не выполняется через SSL? Те, кто хочет использовать функции, могут приобрести сертификат. –
Хорошая точка, спасибо! – sean