有什么好的建议或资源可以帮助我保护单击URL基于身份验证?实际上,情况是一个第三方系统接受HTTPS请求,通过浏览器,您提供身份验证信息(用户名,密码,authkey等)。然后,服务在验证提供的凭据后,将允许或拒绝登录访问。重点是,如果有人点击该链接,则会自动获得对该第三方系统的访问权限。目前,整个过程中没有太多安全性(这并不是很重要,因为该产品尚未投入生产),第三方愿意进行一些修改来加强安全性。我已经确定需要对信息进行哈希处理,并可能通过POST提交以防止在浏览器历史记录中显示信息。但是,我想听听您们如何处理这样的事情的一些意见。[编辑:请求当前和将继续通过HTTPS发送。我还修改了先前使用的HTTP为HTTPS]
3个回答
10
不要考虑“稍微加强一下安全性”。它要么是从底层安全的,要么就有漏洞会让你付出沉重代价。
查看HTTP Digest Authentication。它简单可靠,在大多数情况下都能有效地工作。
查看OWASP.org top-10漏洞。确保您理解并解决了每一个漏洞。
- S.Lott
1
保护自己免受使用过时链接获取应用程序访问权限的影响。使链接依赖于当前时间值。
- Andrzej Bobak
1
为了避免在传输到第三方Web服务器时凭据被窃听,您应该使用HTTPS。
- Alexander
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接