SORU
26 Kasım 2008, ÇARŞAMBA


Dinlendirici Kimlik Doğrulama

Dinlendirici kimlik Doğrulama anlamı nedir ve nasıl çalışır? Google üzerinde iyi bir genel bakış bulamıyorum. Sadece benim anlayış oturum anahtarı (remeberal) URL geçmesi, ama bu korkunç yanlış olabilir.

CEVAP
16 Temmuz 2009, PERŞEMBE


Ben gerçekten şüphe edip insanların heyecanla bağırarak "HTTP kimlik Doğrulaması" bu şimdiye kadar yapmak web-tabanlı bir uygulama (yerine bir makine-to-makine web hizmeti) (alınma sakın - ben sadece sanmıyorum onlar şimdiye kadar karşı karşıya komplikasyonlar).

HTML sayfaları bir tarayıcıda görüntülenecek üreten Dinlendirici hizmetleri HTTP kimlik Doğrulaması kullanarak buldum sorunlar şunlardır:

  • kullanıcı genellikle kullanıcı dostu olmayan bir çok tarayıcı yapımı çirkin bir bağlantı kutusu alır. şifre alma Ekle, yardım kutuları, ufak tefek şeyler yapamazsınız.
  • oturum ya da farklı bir isimle giriş sorunu - tarayıcılar penceresini kapatmadan sitesi için kimlik doğrulama bilgilerini göndermeye devam edecektir
  • zaman aşımı zordur

Nokta ile bu nokta ele çok anlayışlı bir madde here ama bu sonuçlarçoktarayıcı özgü javascript hackery, et cetera geçici çözümler için geçici çözümler. Gibi, yeni tarayıcılar serbest olarak da sürekli bakım gerektirir, böylece ileriye dönük uyumlu değildir. Temiz ve net bir tasarım olarak görmüyorum, ek iş ve baş ağrısı bir sürü heyecanla benim arkadaşlarım DİNLENME-rozet gösterebilirim sadece öyle hissediyorum artı.

Kurabiye çözümü olduğuna inanıyorum. Ama durun, çerez kötü, değil mi? Değiller, kurabiye kullanılan yol genellikle kötüdür. İstemci tarafı bilgi sadece bir parça, sadece HTTP doğrulaması gibi kendisi bir çerez tarayıcı sörf yaparken takip edeceği bilgi. Ve istemci tarafı bu bilgiyi HTTP Kimlik bilgileri olduğu gibi her isteği sunucuya tekrar gönderilir. Kavramsal olarak, tek fark buiçerikistemci tarafında bu parça devlet tarafından belirlenebilirserveryanıt bir parçası olarak.

Oturumlar sadece aşağıdaki kuralları: ile Huzurlu bir kaynak sağlayarak

  • Biroturumharitalar kullanıcı ıd anahtarı (ve muhtemelen zaman aşımı için eylem son zaman damgası)
  • Bir eğeroturumvar, o zaman bu anahtar geçerli olduğu anlamına gelir.
  • Giriş anlamına gelir, oturumlar, yeni bir anahtar için kayıt çerez olarak ayarlanır
  • Çıkış anlamı /oturumlar/{anahtar} aylık kontrol edilir (aşırı YAZI ile, hatırlıyorum, bir tarayıcı ve HTML 5 henüz gitmek için uzun bir yol olduğunu)
  • Kimlik doğrulama her istek bir çerez gibi anahtar göndererek yapmış ve oturumu var olup olmadığını kontrol ediyor ve geçerlidir

Tek fark, HTTP kimlik Doğrulaması, şimdi, bu kimlik doğrulama anahtarı oluşturulur sunucu tarafından gönderilen ve istemci kim tutar gönderme geri, yerine istemci bilgisayar ondan girilen kimlik bilgileri.

converter42 https etmeliyiz () kullanarak, tanımlama bilgisi kimlik bilgileri asla güvenli olmayan bir bağlantı üzerinden gönderilen güvenli bayrağı yer alacak önemli olduğunu açıkladı. Harika bir noktaya kendim görmemişti.

Hissediyorum ki bu yeterli bir çözüm olduğunu gayet iyi çalışıyor, ama itiraf etmeliyim ki ben yeterli bir güvenlik uzmanı için tespit potansiyel delikler bu düzeni - bildiğim yüzlerce sigara içilmez Dinlendirici web uygulamaları kullanmak aslında aynı oturum açma protokolü ($_SESSİON inphp, HttpSession Java EE, vs.). İçeriğini sadece sunucu tarafında bir kaynak adresi için, sadece kabul-dil gibi kullanılan başlık çerez çeviri, vesaire erişmek için kullanılabilir. Aynı olduğunu hissediyorum, ama belki de diğerleri değil mi? Siz ne düşünüyorsunuz?

Bunu Paylaş:
  • Google+
  • E-Posta
Etiketler:

YORUMLAR

SPONSOR VİDEO

Rastgele Yazarlar

  • Boiler Room

    Boiler Room

    10 Mayıs 2012
  • ethr95awd

    ethr95awd

    8 Kasım 2006
  • Munchkin the Teddy Bear

    Munchkin the

    30 EYLÜL 2011