コードはOn Fireを クールに情熱をコード

どのようにAjax用のログイン資格情報をセキュリティで保護するには

多くのJavaScriptとRESTまたは他のWebのサービスの利用を他のクライアントこれらのサービス、エンドユーザーのアクセスを許可する認証のcredentialsを使用するhave。

方法はいくつかのサーバーに資格情報を取得しています。 1つの一般的な方法は、HTTP 1.1の認証を使用しているいずれかのダイジェストや基本的な。 この方法で問題は、それが世界から資格情報を非表示にしていません。 ウェブトラフィック誰のリスニングは基本的にヘッダから資格情報を取得することができます。

もう一つの方法は、おそらくより簡単に多数使用され、POST中にログイン資格情報を含めるまたはGET Webサービスに作られて呼び出します。 そして、それは同じように公開されます。

http://mywebserver.com/mywebservice/?user=admin&pass=1234
セキュリティ輸送高は非常にしないように。

SSLは、本当に唯一の方法は、あなたの資格は、世界の残りの部分から隠されたまま確認される。

Serverは、ログイン資格情報を不明瞭化のためのトークンを生成

私は別の戦術を取り上げている。 それは以下のコースを実行します：

1. サーバートークンランダムからクライアントの要求に応じての中にセッションを使用する。
2. 一度トークンは、クライアントは、パスワードの末尾にトークンを連結、受信し、全体のMD5ハッシュを行います。
3. 時の資格情報がサーバーによってている必要に応じてクライアントは、passhash＆ 渡しますユーザ='ユーザー名'= [md5の（パスワードがトークン検索する）]
4. サーバーは、それの上に同じプロセスで終わるこれを比較します。 2つのハッシュが一致する場合は、パスワードはそれらのハッシュで使用される場合も同様にしています。

このメソッドの美しさは、それが正しく適切な資格情報を識別するため、100％確実な方法ですが、それは、プロセスを逆にすることは不可能ですし、戻ってパスワードを取得されます。

さらに一歩物事を撮影

最初のステップは、私には]）トークンされたために使用[（md5のパスワードが検索する。 私は今では私が非表示にしたいのさまざまな情報を使用して更新して：
[md5の（ユーザー名+パスワード+のmy_ipはログイン検索するトークンの構築）難読]スクリプトのサイトがいくつかの内蔵クロス

非常に熱心なよこしまなハッカーは、まだいくつかの努力を使用してセッションを乗っ取ることができます。 そして、あなたはそれが定期的に現在のセッションのトークンを変更することによって彼/彼女の中に価値がないことを確認することができます。

KnowledgeTreeのJavaScriptのAPI

開発者としてKnowledgeTree 私は、APIの午前を介して機能を上の現在の作業設定、サーバーの公開がされますライブラリのJavaScript。 KnowledgeTreeのコアコンポーネントでは、厳格なセキュリティことだ。 法上記の（またはそのバリアントが）の過程でKnowledgeTree jAPI実装されている。

* KnowledgeTreeは、エンティティはオープンソースの文書管理のシステムレベルのSMBにエンタープライズ。

以降と上向き！