2
从我的Chrome扩展中,我向敏感信息(即用户的电子邮件和密码)向服务器发送请求,以便将其登录到服务中。一个天真的做法是做出类似于向敏感数据请求服务器
www.myserver.com/login?email=email&pass=pass.
这样的要求然而这似乎很糟糕。什么是标准,安全的方式来执行此操作?
A
回答
3
标准的安全方式是使用加密通道,如HTTPS。这样,只有连接到https://myserver.com将被看到,并且GET /login?email=email&pass=pass请求将被加密。 但是,通过仅通过GET请求的参数进行身份验证,您必须在每个要访问的页面上随身携带它。 通常,这是通过服务器为您提供身份验证令牌(例如cookie)来解决的,该令牌会在您登录时授予您一段时间的访问权限。 此访问令牌通常称为“会话”。它的实现方式差异很大,但通常归结为给你一种密钥来换取有效的登录。
获得有效会话的其他方法包括发送明文用户名和密码作为派生密钥,例如种子和散列。
如果有什么东西在我的答案,你不明白,请对此发表评论,我会阐述或举些例子:)
编辑:
在后端,我正在使用werkzeug python库的标准salt + hash。如果JS执行相同的操作,然后沿派生密码传递 ,那么这是否足够?
是的。如果你使用salt + hash方案,你可以使用任何你想要的JS库。我经常使用本机XmlHTTPRequest来完成它。
此外,您的第一个建议是使用HTTPS。如果我走这条路线,并且 返回会话密钥,那么如何阻止某个人窥探会话密钥 ?
如果您要使用SSL,阻止某人嗅探会话的是什么?那么加密希望:)一旦SSL连接建立后,你和服务器之间来回的所有内容都将被加密,所以没有什么可以窥探的。 虽然没有加密,但这成为一个大问题。当Firebug出来时(或者是Firesheep?),记住所有关于Facebook的模糊和嗅探会话cookie?
当然你的SSL隧道可能会成为中间人的受害者,但这样的公钥基础设施是最好的。最近SSLv3被认为是安全的。
相关问题
- 1. 从服务器请求(ogc)“Sensor Observation Service”(传感器观察服务)请求
- 2. 如何向服务请求d3数据?
- 3. 通过客户端从服务器发送到服务器的敏感数据
- 4. 如何将敏感数据发送到Asp.net Web API服务器
- 5. PHP请求从WSO2数据服务服务器获取数据
- 6. RTSP请求到服务器流数据
- 7. 向haproxy中的默认服务器或其他服务器请求redispatch请求?
- 8. 在数据库中保存敏感数据 - 安全服务器通信
- 9. 向服务器发送请求两次
- 10. 向服务器发送请求java
- 11. 向服务器重复异步请求
- 12. 向服务器发送POST请求
- 13. 向服务器发送多个请求
- 14. 向远程服务器发出请求
- 15. 向服务器发送大量请求
- 16. 绕过DNS服务器向特定服务器请求域
- 17. django服务器可以向其他服务器发送请求
- 18. 请求重定向到达服务器时到达服务器
- 19. 如何安全地将敏感数据从浏览器发送到服务器?
- 20. 向Web服务请求计数
- 21. 用于存储PCI敏感数据的服务
- 22. Apigee应用服务 - 保护/ Users集合中的敏感数据
- 23. Silverlight安全 - 敏感数据
- 24. 存储敏感数据
- 25. HTTPS发送敏感数据
- 26. REST API GET敏感数据
- 27. Mule记录敏感数据
- 28. EF4中的敏感数据
- 29. Java - 存储敏感数据
- 30. .NET MVC +敏感数据
在后端,我使用werkzeug python库中的标准salt + hash。如果JS执行了相同的操作,然后传递派生的密码,那足够了吗?如果是的话,什么js库会相当于?另外,你的第一个建议是使用HTTPS。如果我走这条路线并返回会话密钥,那么如何阻止某人窥探会话密钥? – user592419
@ user592419编辑与您的问题的答案:) –