2
我有一个php页面“server1.com/page1.php”(不是真实的)和另一个页面“server2.com/page2.php”如何验证php中的请求服务器?
page1.php响应根据URL传递的参数可以来从任何服务器。
但我如何检查“server1.com/page1.php”是否从“server2.com/page2.php”调用或不。
在此先感谢
A
回答
4
有很多方法可以实现。
最简单的方法是检查$ _SERVER ['HTTP_REFERER']以查看它是否匹配,但这不是100%可靠,并且不是真正的安全性。
第二种方法是使用PHP的会话功能。这需要两台服务器使用共享会话跟踪区域,这是一个更高级的服务器设置。
第三种方法是使用共享MySQL服务器,这两个服务器都可以访问来验证请求。这会引入延迟,这可能会减慢请求的速度。
第四种方法是使用回呼到始发服务器来验证它是否发出请求。 Server2向Server1发出请求,然后Server1与Server2联系,并询问它刚刚收到的请求是否真的来自它。
第五种方法是使用私钥/公钥对对您的请求进行签名。通过这种方式,您可以确定该请求是否来自它声称的服务器。
1
3
我以前做过这个,使用哈希,已知的秘密和时间戳。时间戳对确保潜在窃听者无法在他们选择的任何时间重放此过程是必要的。
- 服务器1的时候产生,其四舍五入为最接近的分钟
- 存储在一个文件中已知的秘密串连它(长的随机字符串,说40个字符)
- 以级联的SHA1字符串(或任何散列系统你喜欢)
- 发送到服务器2
- 服务器2做下面和当前时间上面的圆时,它允许在服务器的时钟不准确一些相同的过程。
或者,我会考虑加入用户名的散列,以便即使重放攻击是可能的,它将被锁定到一个用户名。
这些日子SHA1听起来有点太快了。 password_hash的算法可能会更好,因为它们故意慢一些 - 如果你愿意,你可以轻松配置额外的轮。
相关问题
- 1. com.microsoft.windowsazure.services.core.storage.StorageException:服务器无法验证请求
- 2. 验证服务器发送HTTP请求
- 3. 如何验证Web服务器上的http请求
- 4. 如何通过PowerShell创建Windows服务ACS?服务器无法验证请求
- 5. php验证NTP服务器
- 6. 服务器端验证php
- 7. 在发出任何请求之前验证服务器身份
- 8. 如何验证对Windows Azure的管理服务请求?
- 9. Web服务如何验证请求的URL是否有效?
- 10. 如何验证Web服务的请求内容?
- 11. 保护/验证服务器的JSON请求
- 12. soapclient请求从PHP到c#web服务与身份验证
- 13. 如何验证SOAP请求
- 14. 如何验证OAuth请求?
- 15. 如何仅执行服务堆请求验证代码
- 16. Android中的KSOAP2请求.NET Web服务中的身份验证
- 17. 身份验证服务器验证没有请求用户权限
- 18. NodeJS:服务器端请求数据验证
- 19. 验证控件不会阻止回发请求到服务器
- 20. 服务器端的PHP表单验证
- 21. 验证请求中的验证挂钩
- 22. 资源请求验证,服务或业务层的责任?
- 23. 如何验证服务器端的CaptchaMVC?
- 24. 如何使用AWS Web API和Lambda验证无服务器Web请求?
- 25. Rails和jQuery - 如何在ajax请求后获得服务器端验证错误
- 26. PHP - Zend SOAP请求.NET SOAP服务器
- 27. Android KSOAP2请求到PHP SOAP服务器
- 28. PHP执行类Web服务器请求
- 29. PHP |节点服务器/请求周期
- 30. Android异常(不受信任的服务器证书):https服务器验证的XML请求
说明:server2.com _ itself_正在使用server1.com上的页面,还是从另一个链接到另一个页面,并且它是同时使用它们的用户? – halfer 2012-03-23 17:55:15