我目前正在研究基于AJAX的站点的身份验证,并且想知道是否有人对这类事情的最佳实践有任何建议.
我最初的方法是基于cookie的系统.基本上我用一个auth代码设置一个cookie,每个数据访问都改变了cookie.同样,每当验证失败时,该用户的所有会话都被取消验证,以阻止劫持者.要劫持一个会话,有人必须让自己登录,并且黑客需要将最后一次cookie更新发送到欺骗会话.
不幸的是,由于AJAX的性质,当快速发出多个请求时,它们可能会出现故障,将cookie设置错误并打破会话,所以我需要重新实现.
我的想法是:
一种明显不太安全的基于会话的方法
在整个网站上使用SSL(看起来有点矫枉过正)
使用经过ssl身份验证的iFrame进行安全交易(我只是假设这是可能的,只需要一点点jquery黑客攻击)
问题不在于转移的数据,唯一的问题是有人可能会控制不属于他们的帐户.
一种明显不太安全的基于会话的方法
京公网安备 11010802040832号 | 京ICP备19059560号-6 