كيف يمكنني تأمين المصادقة ولكن ليس الحمولة?
https://stackoverflow.com/questions/600329
-
03-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
أنا أبحث عن القائمة بروتوكول HTTP لتأمين المصادقة ولكن ليس الحمولة التالي.أريد server لتخزين اسم المستخدم, كلمة المرور المجزأة و الملح مختلفة لكل مستخدم.
HTTP مصادقة تلخيصية فشل هذه المتطلبات لأن جميع الحسابات استخدام نفس الملح.SSL فشل لأنه بتشفير الاتصال بالكامل.
التعديل لإضافة:
هذا هو عميل سطح المكتب الحديث إلى خدمة ويب (أي متصفح المعنية)
المحلول
لماذا لا يكون مجرد الخاص بك آلية المصادقة المحمية SSL ثم إلى الأمام إلى بقية التطبيق الذي يعمل تحت العادي HTTP?
نصائح أخرى
مخطط شعبية هو أن يكون نموذج تسجيل الدخول المحمية SSL ، في حين أن بقية الموقع لا يستخدم SSL.انظر على سبيل المثال شعبية مواقع الشبكات الاجتماعية.
ماذا عن OpenID?هل هناك سبب أن لديك لتخزين المصادقة المعلومات ؟
التعديل لإضافة
آسف لم أنتبه أنه كان التطبيق سطح المكتب.ماذا عن أوث?
هل هناك طريقة يمكنك أن هيكل الطلب الأصلي URL للإشارة إلى المستخدم ؟ ثم الملقم قد تستجيب مع مختلف عالم مختلف (بوصفها "الملح") لكل مستخدم في HTTP مصادقة تلخيصية الاستجابة.على سبيل المثال ، طلب عناوين شكل http://user.y.com/service أو http://www.y.com/user/service من شأنه أن يؤدي إلى استجابة التحدي مثل:
WWW-Authenticate: Digest realm="user@y.com", nonce="oqa9hvq49krprkphtqc"
هل يمكنك شرح ما يقود "بلا تشفير" الولاية ؟ إذا كنت تخضع رجل في داخل المتوسطة الهجمات ، تحتاج إلى حماية سلامة كامل الطلب.هناك SSL سوف تكون مفيدة جدا.إذا كنت على الاطلاق لا يمكن أن يكون التشفير ، SSL غير مشفرة باستخدام التشفير جناح تكون مقبولة ؟
