URL de autenticação baseado no link
-
04-07-2019 - |
Pergunta
O que são algumas sugestões boas ou recursos para olhar para me ajudar a garantir uma única autenticação baseada clique URL?
Essencialmente, a situação é um sistema de terceiros que aceita uma solicitação HTTPS, por meio do navegador, onde você fornecer informações de autenticação (un, PW, authkey, etc ...). O serviço, em seguida, ao autenticar as credenciais fornecidas, irá permitir ou negar o acesso de login. O ponto é que, se alguém clica no link, eles são automaticamente concedido acesso a este sistema de terceiros.
Atualmente, não há um monte de segurança em torno de todo o processo, (que não é um grande negócio, porque o produto não está em produção até o momento) eo terceiro está disposto a fazer algumas modificações para garantir essa -se um pouco.
Eu já determinou que preciso de hash as informações, e provavelmente até mesmo enviá-lo através de um posto para impedi-lo de mostrar informações no histórico do navegador. Mas eu gostaria de um pouco de entrada de como você tudo iria lidar com algo assim.
[Editar: Os pedidos são e continuarão sendo enviadas via HTTPS. Eu também modificou o HTTP usado anteriormente para ser HTTPS]
Solução
-
Não pense em "proteger este um pouco". É ou garantir a partir do zero, ou ele tem buracos que vai custar-lhe caro.
-
Olhe para HTTP Authentication Digest . É simples, confiável e funciona bem na maioria das circunstâncias.
-
Olhe para os OWASP.org top-10 vulnerabilidades. Certifique-se de entender e endereço de cada um.
Outras dicas
Você provavelmente deve usar HTTPS para evitar as credenciais espiados enquanto em trânsito para o terceiro servidor web.
Proteja-se de usar a ligação obsoleto para ter acesso à aplicação. Fazer a ligação ser dependente de valor de tempo atual