我有一个PHP脚本连接到Node.js服务器并与之通信。 Node.js只能响应来自PHP脚本的请求,所以我需要确保Node服务器具有某种身份验证方法。廉价的客户端识别与正确的SSL客户端身份验证
现在为了确定它实际上是PHP脚本连接,我正在考虑使用一些便宜的身份验证,例如发送一个预共享密钥以及PHP脚本正在创建的请求。 Node服务器简单地将它与它自己的秘密进行比较,如果它们匹配,则可以认为它是连接的脚本而不是其他人(假设SSL具有防止重放攻击的内置方法)。
整个过程将通过HTTPS完成,HTTPS具有脚本能够确认节点服务器身份的额外好处。
这是否足够安全,或者我应该做一些正确的基于SSL的客户端身份验证?毕竟,它是通过HTTPS的,所以预共享的秘密不应该很容易被嗅出来吗?
我可能会使用请求签名方法,而不是发送实际的秘密,但这不应该有很大的区别。否则,同意。 – deceze 2012-01-14 02:02:00