基於URL的驗證鏈接
[英]URL Based Authentication Link
問題描述
有哪些好的建議或資源可以幫助我確保單擊基於URL的身份驗證?
本質上,情況是第三方系統通過瀏覽器接受HTTPS請求,您可以在其中提供身份驗證信息(un,pw,authkey等...)。 然后,該服務在驗證提供的憑證時將允許或拒絕登錄訪問。 關鍵是,如果有人點擊該鏈接,他們將自動被授予訪問該第三方系統的權限。
目前,整個過程並沒有太多的安全性(這不是一個大問題,因為產品尚未投入生產),第三方願意進行一些修改以保證這一點。 。
我已經確定我需要散列信息,甚至可能通過POST提交它以防止它在瀏覽器歷史記錄中顯示信息。 但我想對你們如何處理這樣的事情提出一點意見。
[編輯:請求將繼續通過HTTPS發送。 我還修改了以前用過的HTTP的HTTP]
3 個解決方案
解決方案1
9 已采納 2008-10-27 20:37:25
不要考慮“確保這一點”。 它要么是從頭開始安全的,要么是它會讓你付出沉重的代價。
查看HTTP摘要式身份驗證 。 它簡單,可靠,在大多數情況下運行良好。
查看OWASP.org前10個漏洞。 請務必了解並解決每一個問題。
解決方案2
1 2008-10-27 20:40:05
您應該使用HTTPS來避免在傳輸到第三方Web服務器時被竊聽的憑據。
解決方案3
1 2010-09-30 14:03:40
保護自己不要使用過時的鏈接來訪問應用程序。 使鏈接取決於當前時間值
WebRequest中基於聲明的身份驗證
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.