2
我有一個php頁面「server1.com/page1.php」(不是真實的)和另一個頁面「server2.com/page2.php」如何驗證php中的請求服務器?
page1.php響應根據URL傳遞的參數可以來從任何服務器。
但我如何檢查「server1.com/page1.php」是否從「server2.com/page2.php」調用或不。
在此先感謝
A
回答
4
有很多方法可以實現。
最簡單的方法是檢查$ _SERVER ['HTTP_REFERER']以查看它是否匹配,但這不是100%可靠,並且不是真正的安全性。
第二種方法是使用PHP的會話功能。這需要兩臺服務器使用共享會話跟蹤區域,這是一個更高級的服務器設置。
第三種方法是使用共享MySQL服務器,這兩個服務器都可以訪問來驗證請求。這會引入延遲,這可能會減慢請求的速度。
第四種方法是使用回呼到始發服務器來驗證它是否發出請求。 Server2向Server1發出請求,然後Server1與Server2聯繫,並詢問它剛剛收到的請求是否真的來自它。
第五種方法是使用私鑰/公鑰對對您的請求進行簽名。通過這種方式,您可以確定該請求是否來自它聲稱的服務器。
1
3
我以前做過這個,使用哈希,已知的祕密和時間戳。時間戳對確保潛在竊聽者無法在他們選擇的任何時間重放此過程是必要的。
- 服務器1的時候產生,其四捨五入爲最接近的分鐘
- 存儲在一個文件中已知的祕密串連它(長的隨機字符串,說40個字符)
- 以級聯的SHA1字符串(或任何散列系統你喜歡)
- 發送到服務器2
- 服務器2做下面和當前時間上面的圓時,它允許在服務器的時鐘不準確一些相同的過程。
或者,我會考慮加入用戶名的散列,以便即使重放攻擊是可能的,它將被鎖定到一個用戶名。
這些日子SHA1聽起來有點太快了。 password_hash的算法可能會更好,因爲它們故意慢一些 - 如果你願意,你可以輕鬆配置額外的輪。
相關問題
- 1. com.microsoft.windowsazure.services.core.storage.StorageException:服務器無法驗證請求
- 2. 服務器驗證請求失敗
- 3. 驗證服務器發送HTTP請求
- 4. 如何驗證Web服務器上的http請求
- 5. 驗證基於Apache HTTP服務器中的請求標頭的傳入請求
- 6. PHP如何檢測遠程服務器是否請求身份驗證
- 7. 如何通過PowerShell創建Windows服務ACS?服務器無法驗證請求
- 8. AJAX請求WCF服務身份驗證
- 9. php驗證NTP服務器
- 10. 服務器端驗證php
- 11. 在發出任何請求之前驗證服務器身份
- 12. 每秒向服務器發送驗證請求(重複任務)
- 13. 如何禁用WCF服務的ASP.NET請求驗證?
- 14. 如何驗證Web服務的請求內容?
- 15. 如何驗證對Windows Azure的管理服務請求?
- 16. 如何驗證對WCF Web服務的外部請求?
- 17. Web服務如何驗證請求的URL是否有效?
- 18. 使用GRPC服務器攔截器驗證請求
- 19. 在服務器中阻止PHP請求
- 20. 如何驗證PHP中的nusoap服務器中的Soap Header?
- 21. 保護/驗證服務器的JSON請求
- 22. cURL - 驗證服務器發送事件的結構化請求
- 23. 對Gluu服務器的SAML身份驗證請求
- 24. soapclient請求從PHP到c#web服務與身份驗證
- 25. 如何驗證OAuth請求?
- 26. 如何驗證SOAP請求
- 27. 如何僅執行服務堆請求驗證代碼
- 28. Android中的KSOAP2請求.NET Web服務中的身份驗證
- 29. 如何在PHP中獲取請求的服務器名稱
- 30. 身份驗證服務器驗證沒有請求用戶權限
說明:server2.com _ itself_正在使用server1.com上的頁面,還是從另一個鏈接到另一個頁面,並且它是同時使用它們的用戶? – halfer 2012-03-23 17:55:15