我有一個PHP腳本連接到Node.js服務器並與之通信。 Node.js只能響應來自PHP腳本的請求,所以我需要確保Node服務器具有某種身份驗證方法。廉價的客戶端識別與正確的SSL客戶端身份驗證
現在爲了確定它實際上是PHP腳本連接,我正在考慮使用一些便宜的身份驗證,例如發送一個預共享密鑰以及PHP腳本正在創建的請求。 Node服務器簡單地將它與它自己的祕密進行比較,如果它們匹配,則可以認爲它是連接的腳本而不是其他人(假設SSL具有防止重放攻擊的內置方法)。
整個過程將通過HTTPS完成,HTTPS具有腳本能夠確認節點服務器身份的額外好處。
這是否足夠安全,或者我應該做一些正確的基於SSL的客戶端身份驗證?畢竟,它是通過HTTPS的,所以預共享的祕密不應該很容易被嗅出來嗎?
我可能會使用請求籤名方法,而不是發送實際的祕密,但這不應該有很大的區別。否則,同意。 – deceze 2012-01-14 02:02:00