一天中的好时光! 我想知道在抽象网站上实现授权的正确方法。
我有一台运行mysql的服务器。在其中一个数据库中,它有成对:登录+密码。
此外,我还有一个“登录表单”的网页。用户输入(以纯文本格式)我需要传输到后端并检查它。这个纯文本传递是我的脖子痛。
我知道有各种现代技术,如openID和OAuth。我不能用它们。我需要做一个小小的Web应用程序。
我正在考虑在目标服务器上使用salt和散列,但得出的结论是它对于嗅探网络是无用的。然后我决定在客户端修改一些仪器登录+密码对。 但是我能够实现这一目标的唯一方法就是使用客户端javascript,这可以很容易地被某人阅读并执行所有步骤来准备他的价值,这对我的auth系统来说是致命的。)
我在理论上非常有趣,不是一个现成的解决方案列表,而是解释它是如何做的。但也欢迎现成的解决方案。 先感谢您!
答案 0 :(得分:1)
如果您想保持简单,我建议您保留标准登录表单(纯文本POST)并强制在发布时使用SSL(即在帖子网址中使用https而不是http)。这样,没有人可以嗅探用户/密码信息。
确认用户/密码有效后,您可以使用Cookie存储会话ID并继续使用Cookie中的会话ID。如果您仍然希望确保没有人劫持您的会话ID,那么您应该在与服务器的通信中继续使用SSL。即使在所有这些身份验证框架中,第二部分也非常标准(它们依赖于cookie来存储临时会话令牌)。