阻止Web应用程序中路由的最简单方法是什么?

时间:2019-02-02 13:20:42

标签: security authentication url web-applications routing

我有一个带有简单编辑器页面的应用程序。我想阻止用户使用它,并且我认为认证不是最简单的方法。 安全当然很重要,但是我没有用户,只有一个“钥匙”可以访问这条路线。 我有一个使用非常长的URL的想法,例如:

  

localhost:3000 / very_long_random_url_with_numbers_and_letters123XEa ...

但是我在后端的知识是如此的纯正。 我可以使用此解决方案吗?

1 个答案:

答案 0 :(得分:0)

不建议使用此解决方案,尽管在某种程度上确实可以达到您的目的,但它有两个明显的缺点:

  1. URL本身是身份验证,以纯文本形式表示,它意味着(a)容易上网,(b)密码存储在浏览器历史记录中。
  2. 由于密码是用源代码编写的,因此任何拥有源代码的人都可以通过访问该URL来进行完全访问。

您实际上可以进行身份​​验证,而不必花很多时间来进行身份验证。一种是通过会话,另一种是通过基本身份验证。

对于基本身份验证,可以使用Apache / nginx进行设置。

对于会话,密钥是在源代码中存储散列密码,当用户访问敏感页面时,您只需执行以下操作:

if session.isAuthed
    show sensitive page
else if is doing login
    check username and hased password
else
    show login form
endif
相关问题
最新问题