有哪些好的建议或资源可以帮助我确保单击基于URL的身份验证?

基本上,情况是第三方系统通过浏览器接受HTTPS请求,您可以在其中提供身份验证信息(un,pw,authkey等...)。然后,该服务在验证提供的凭证时将允许或拒绝登录访问。关键是,如果有人点击该链接,他们将自动被授予访问该第三方系统的权限。

目前,整个过程并没有太大的安全性(这不是一个大问题,因为产品尚未投入生产),第三方愿意进行一些修改以保证这一点。一点点。

我已经确定我需要对信息进行哈希处理,甚至可能通过POST提交它以防止它在浏览器历史记录中显示信息。但我想对你们如何处理这样的事情提出一点意见。

[编辑:请求将继续通过HTTPS发送。我还修改了之前用过的HTTP的HTTP]

有帮助吗?

解决方案

  1. 不要考虑“保证这一点”。它要么是从头开始安全的,要么是它会让你付出沉重的代价。

  2. 查看 HTTP摘要式身份验证。它简单,可靠,在大多数情况下都能很好地工作。

  3. 查看 OWASP.org 前10个漏洞。请务必了解并解决每个问题。

其他提示

您应该使用HTTPS来避免在传输到第三方Web服务器时被窃听的凭据。

保护自己免受使用陈旧链接访问应用程序的权限。使链接取决于当前时间值

许可以下: CC-BY-SA归因
不隶属于 StackOverflow
scroll top