我想爲登錄,新聞和用戶管理創建一個門戶網站。另一個用於登錄後門戶重定向的Web應用程序的網站。什麼是在重定向用戶的同時將登錄密鑰從一個網站傳輸到另一個網站的簡單且安全的方法?
我的目標之一是能夠在不同的服務器上託管門戶和網絡應用程序。一旦用戶成功登錄並重定向到Web應用程序,門戶網站就會將用戶的ID傳輸到Web應用程序。但我不想讓人們直接跳過登錄或訪問其他用戶帳戶,直接將用戶id發送到Web應用程序。
我的第一個想法是將加密後的用戶標識作爲後期變量或查詢字符串值傳輸。使用某種公鑰/私鑰方案,並向關鍵字添加日期時間戳以使其每次都有所不同。
但我之前沒有做過這種事情,所以我想知道是否沒有更好的方法來做到這一點。我可以通過數據庫進行通信,通過讓門戶網站用數據庫中的密鑰存儲用戶標識並將該密鑰傳遞給使用它從數據庫獲取用戶標識的網絡應用程序,但這似乎很瘋狂)
任何人都可以給出一個方法來做到這一點或建議嗎?或者這是一個不好的主意嗎?
謝謝你的時間。
基本上,您正在尋求單點登錄解決方案。你描述聽起來很像SAML,雖然SAML是一個比較先進的;-)
這取決於你希望整個事情有多安全。生成帶有嵌入式時間戳的加密標記仍然會讓您開始欺騙 - 如果有人竊取了令牌(即通過網絡嗅探),他將能夠使用被盜的令牌提交自己的請求。根據生存時間的不同,這次你的令牌可能會受到限制,但是一個堅定的黑客將能夠做到這一點。此外,你不能抽出時間小生活 - 你會拒絕有效的請求。 另一種方法是生成「使用一次」令牌。就欺騙而言,這是'防彈',但它需要服務器場內服務於您的應用的所有服務器之間的協調,以便如果其中一個服務器處理了令牌,其他服務器會拒絕該令牌。 要使它真正安全的故障轉移方案等,這將需要一些額外的步驟,所以這一切都歸結到你如何安全需要它,你要多少投資建起來
我建議在看SAML
PGP會工作,但它可能會慢於高流量的網站
我過去做過的一件事是使用共享祕密方法。有些令牌只有我自己和其他網站運營商知道與識別用戶的內容(如他們的用戶名)連接,然後使用校驗和算法(如SHA256)對其進行哈希處理(您可以使用MD5或SHA1,通常它們可用性更強,但它們很多更容易打破)
另一端應該做與上面相同的事情。把通過的識別信息和校驗和。將它與傳入的校驗和進行比較,如果它們匹配,則登錄有效。
爲了增加安全性,您還可以連接日期或其他旋轉鍵。有助於雙方運行SSL。
一般來說,答案某處SHA256/MD5/SHA1加上共享密鑰基於人類居住實際上有思考。如果有錢的地方,我們可能會認爲有些人會做什麼是沒有限制的 - 我和高中的一個人跑了幾個月,觀察這些人在實踐中會做什麼。幾個月後,我學會了不要用那種方式跑步。沉悶地避免工作,突然在星期六早上的凌晨4點,努力和分析功能的水平可能只能被描述爲「專業知識」(注意大寫)。必須有一個解決方案,其他網站,如谷歌,這一個將無法忍受的機會在閃電的蒲公英。
有密碼學,其中一個機構(與信譽良好的目標)可以發出信息的數學著作研究 - 數字現金 - 可以存在於明線,但不透露任何信息。誰會打破他們?我與[person] 的經驗表明,這是一項社會化研究,取決於你想與誰一起跑步。如果只使用瀏覽器就可以更容易地獲得代碼,那麼對嗅探器的防禦是什麼?
<form type="hidden" value="myreallysecretid">
相一相
<form type="hidden" value="weoi938389wiwdfu0789we394">
那麼,哪一個是對的攻擊有價值?如果有人想要從你身上吸取一些蛇油,也許你會得到2:59的電話開始:「我是一個投資者,我們沉溺於你的網站,我剛接到安全專家的電話。 ......「所有你可以做的準備工作就是使用已知的工具,如SHA--其中256種是公認的」下一件事「 - 並且具有跟蹤控制,以便安全專家可以投入保險和結合。
更不用說試圖找到一個誰知道這些工具是如何工作的,他們的第一道防線是不是跟你說話......然後他們有自己的文學 - 他們會要你使用他們的工具。
然後,你沒有得到任何代碼。
有趣的,感謝您的諮詢! – 2009-09-25 17:51:51
加密的令牌應該與引薦網站的私鑰一樣安全。 – daveb 2009-09-25 17:52:25