通過從外部SharePoint門戶下載文件來授權用戶

Question

我有一個關於我的想法的未解決問題。這裏有一些背景： 我正在爲我工​​作的公司開發一個PHP應用程序。它只能用於其員工。每個員工都可以訪問我們的SharePoint門戶。基本上，該應用必須僅適用於有權訪問我們的SharePoint的人員。

我有一個想法，使用SP來授權用戶在我的應用程序。授權將基於使用CURL從SP下載受保護文件（所有用戶都使用一個文件）。如果文件被正確下載，您已經登錄。如果沒有，您不能訪問該應用程序（當然會有異常處理）。 因此，每個有權訪問SP的人都可以訪問該應用。應用程序和SP位於不同的服務器上。

您對這個想法有什麼看法？它會安全嗎？這是一個好主意嗎？

我列出了一些優點和來到我的腦海利弊...

優點：

• 易於開發
• 訪問控制是由SharePoint舉行
• 用戶不要」不用爲了學習新的登錄名和密碼
• IMO它應該是安全的，因爲沒有密碼將被存儲在應用程序的數據庫

缺點/弱點：

• 可能性，該文件將被意外刪除

乾杯， 自必

Answer 1

這不是一個好主意。你基本上信任客戶端來驗證自己，這是非常糟糕的。您必須假設客戶端代碼完全受到攻擊並被攻擊者修改以繞過您的控件。

一般來說，「自己動手」的安全性是災難的祕訣。您應該利用PHP內置的會話跟蹤機制。如果你不知道如何使用它，你可以找到a good tutorial here。您的用戶將不得不再次進行身份驗證，但不幸的是，這對於正確的安全性是必需的。

而且要記住，你的建議的解決方案有可能會超越任何訪問控制「員工」。如果您需要提供基於用戶ID，角色或組限制用戶對資源的訪問權限，則這在將來會受到嚴重限制。如果你在遊戲的這一點上做得很好，你將來會更快樂。