消防法在 有关代码酷激情

如何保证阿贾克斯登录凭证

许多JavaScript并利用休息或其他网络服务的使用其他客户端必须使用认证证书，允许最终用户访问这些服务。

有几种方法得到的全权证书的服务器。 一种流行的方法是使用HTTP1.1权威性，无论是消化或基本。 使用此方法的问题是，它没有隐藏的世界您的凭据。 任何人听你的网站流量在本质上是能够从标题您的凭据。

另一种方法，可能更容易使用的大多数，是包括在邮局凭据或正在作出的GET调用Web服务。 这只是暴露出来的。

http://mywebserver.com/mywebservice/?user=admin&pass=1234
不作非常高的运输安全。

SSL是真正的唯一途径，以确保您的凭据继续从世界各地隐藏的。

服务器生成遮盖登录证书令牌

我已采取了不同的战术。 它运行下列课程：

1. 随机令牌从客户端请求到服务器的过程中它的使用会话。
2. 一旦收到这个凭证，客户端串联的令牌密码的结束，那么对整个事情的MD5哈希。
3. 当凭据服务器所需要的，客户端然后将用户='用户名'＆passhash = [的MD5（密码+令牌）]
4. 在服务器上的比较，它的同一进程中这一目的。 如果两个散列值匹配，那么这些密码哈希使用必须是一样好。

这种方法的优点在于，尽管它是100％的正确识别正确的凭据可靠的方法，也不可能扭转这一进程，得到密码回来。

走一步一步

我最初的步骤是使用[文件md5（密码+令牌）]。 我现在已经更新了它使用的各种信息，我想隐藏：
[md5的（用户名+密码+ my_ip +令牌）]其中有一些英寸内置的跨站点脚本混淆建

一个狡猾，很热心的黑客仍然可以劫持你的一些工作会议。 而且你可以确保它是不值得他/她的定期更改为当前会话令牌时间。

KnowledgeTree的JavaScript API

作为对开发商KnowledgeTree我目前工作组库的JavaScript，将公开的API服务器功能通过。 作者：KnowledgeTree的核心部分是它的严格的安全性。 上面提到的方法（或它的一个变种）正在为KnowledgeTree jAPI实施的过程中。

* KnowledgeTree是一个开源文档管理系统的SMB到企业级实体。

节节攀升！