我對網絡開發相對來說比較陌生,我希望能夠獲得一些關於我希望實現的功能的可行性的一些指示。有沒有可能有一個你可以點擊的url鏈接,它可以包含它鏈接到的網站的登錄憑據,以繞過該網站登錄屏幕?爲了繞過網站的登錄屏幕,您能否使用用戶名和密碼加載鏈接?
換句話說,我可以從我的網站鏈接到Facebook,這將允許我登錄到我的臉書,從任何電腦?意思是,如果我沒有cookie來存儲我的登錄信息,是否可以登錄?
這只是一個概念性的問題,所以任何幫助將不勝感激!謝謝!
爲什麼通常會避免這種情況的一個原因是因爲Web服務器經常將query string參數存儲在訪問日誌中。通常情況下,您不會希望在服務器上以明文形式顯示一長串用戶名和密碼。
此外,包含用戶名和密碼的查詢字符串可與dictionary attack一起用於猜測有效的登錄憑證。
除了這些問題,只要通過HTTPS提出請求,它在運輸過程中將是安全的。
可以通過服務器上的GET請求傳遞URL中的參數,但必須明白請求可能以明文形式進行,因此不太可能是安全的。曾經有一段時間我不得不使用令牌編程「無聲」登錄,因此可以在企業應用程序中完成。
雖然有可能,但它取決於網站(在這種情況下Facebook)接受查詢字符串中的這些值。有一些安全問題需要考慮,一般不會做。
雖然,單一登錄有不同的選項。這個網站使用OpenID。
您曾經可以做到這一點,但大多數瀏覽器不再允許它。你將永遠無法做到這一點使用Facebook的只使用瀏覽器權威性的東西(瀏覽器彈出一個用戶名/密碼對話框)
它是這樣的: http://username:[email protected]
你也許能夠做的是在你的用戶名和密碼發佈到Facebook的登錄頁面的鏈接中wh出一些javascript。不知道它是否會起作用,因爲您可能需要從登錄頁面本身刮取cookie/hidden字段。
由於沒有cookie,或者無效的nonce或錯誤的HTTP引用來源,網站可能會阻止您,但是如果它們的安全性較低,它可能會有效。
不是真的回答你的問題,但不會讓你登錄相當長的一段時間嗎?如果你使用的是同一臺機器,是不是讓你進入? – 2010-04-20 20:41:17
對,我剛剛用Facebook作爲例子。我期望瞭解這個功能在不同網站上的可行性。 – Jeff 2010-04-20 20:42:38