Кодекс On Fire увлечены Cool кодекса

Как защитить Войти полномочия на Ajax

Многие JavaScript и других клиентов, которые используют REST или других веб-служб необходимо использовать учетные данные проверки подлинности, разрешающие доступ конечных пользователей к этим услугам.

Есть несколько способов, чтобы получить полномочия на сервер. Одним из популярных методов является использование HTTP1.1 Auth, или дайджест или основной. Проблема с этим методом, что он не скрывает, учетные данные от мира. Любой слушали на вашем веб-трафика в принципе способно получить полномочия от заголовков.

Другой метод, вероятно, более легко использовать большинство, должна включать Войти полномочия в POST или GET звонки тому, чтобы веб-служб. И это так же подвержены.

http://mywebserver.com/mywebservice/?user=admin&pass=1234
не делает для очень высокой транспортной безопасности.

SSL это действительно единственный способ быть уверенным, что ваши учетные данные остаются скрытыми от остального мира.

Server Сгенерирована токены для Сокрытие Войти по проверке полномочий

Я не заняли другую тактику. Она работает следующим курсам:

1. Клиент запрашивает случайных маркер-сервер для использования во время его сессии.
2. Как только он получает знак клиента объединяет самым до конца пароль, а затем делает MD5 хэш на всю эту ситуацию.
3. Когда учетные данные, необходимые сервера, то клиент переходит пользователь = 'Имя пользователя "и passhash = [md5 (пароль + знак)]
4. Сервер сравнивает его с тем же процесса на его конец. Если два хэши совпадают, пароли, используемые в этих хэшей должна быть такой же, как хорошо.

Красота этого метода является то, что хотя это 100% надежный способ правильно идентифицировать правильных учетных данных, это также невозможно повернуть вспять этот процесс и получить пароль обратно.

С вещами на один шаг дальше

Первым шагом для меня было использовать [md5 (пароль + знак)]. Я сейчас уже обновили его использовать разнообразную информацию я хотел бы скрыть:
[Md5 (имя пользователя + пароль + my_ip + знак)], которая имеет несколько встроенных в межсайтовый скриптинг запутывания встроенного

Хитрый и очень усердный хакер может захватить еще сеанса с некоторым усилием. И вы можете быть уверены, что не стоит его, пока ее регулярно меняется знак для нынешней сессии.

KnowledgeTree JavaScript API

Как разработчик KnowledgeTree настоящее время я работаю на набор библиотек JavaScript, которые угрожали бы сервере функциональность с помощью API. Одним из основных компонентов KnowledgeTree является его строгая безопасности. Метод, упомянутые выше (или ее вариантом) в процессе осуществления на KnowledgeTree Жапи.

* KnowledgeTree является OpenSource системы управления документами для малого и среднего бизнеса на уровне субъектов предпринимательства.

Вперед и вверх!