我有一個客戶端/服務器應用程序,我想知道什麼是一個安全的方法來實現服務器的新客戶端註冊。註冊新的應用程序實例與服務器的安全方法
到目前爲止,我有以下幾點:
用戶從他們的網絡下載客戶端,並安裝它。在安裝過程中,客戶端向服務器註冊並接收密鑰(證書)。 隨後每個客戶端請求都會使用該密鑰進行加密/簽名。
我的問題是如何確保最初的交易? 如何確保我沒有黑客欺騙註冊請求,欺騙我的服務器,並使用我的服務器資源?
感謝
我有一個客戶端/服務器應用程序,我想知道什麼是一個安全的方法來實現服務器的新客戶端註冊。註冊新的應用程序實例與服務器的安全方法
到目前爲止,我有以下幾點:
用戶從他們的網絡下載客戶端,並安裝它。在安裝過程中,客戶端向服務器註冊並接收密鑰(證書)。 隨後每個客戶端請求都會使用該密鑰進行加密/簽名。
我的問題是如何確保最初的交易? 如何確保我沒有黑客欺騙註冊請求,欺騙我的服務器,並使用我的服務器資源?
感謝
一個簡單的CAPTCHA可能足以防止黑客建立假冒註冊。
你有沒有考慮過使用https? https(http over SSL)可以幫助防止黑客欺騙請求,從而讓您安全地在客戶端和服務器之間交換消息。這將消除您需要擁有密鑰來加密/解密消息的需要。
驗證必須單獨處理。儘管https可以防止竊聽,但如果您希望將訪問權限限制爲識別的用戶,則需要使用例如用戶名和密碼來實現身份驗證機制。也許作爲您網站初始註冊的一部分,用戶需要創建一個用戶帳戶。要使用您網站的服務,用戶需要提交一個有效的憑據(用戶名/密碼),您可以根據數據庫進行檢查。
如果您願意花一些時間閱讀這個主題,這裏有另一個有用的link。
如何使用https來驗證我的客戶端? – DanJ 2009-02-05 10:13:17