我有一个关于我的想法的公开问题。这是一些背景知识: 我正在为我工作的公司开发一个PHP应用程序。它只能由其员工使用。每位员工都可以访问我们的SharePoint门户。基本上,只有能够访问我们的SharePoint的人才能访问该应用程序。
我有一个想法,即使用SP在我的应用中授权用户。授权将基于使用CURL从SP(一个用于所有用户)下载安全文件。如果文件已正确下载,则表示您已登录。如果不是,则不允许您访问该应用程序(当然会有异常处理)。 因此,每个有权访问SP的人都可以访问该应用。应用和SP位于不同的服务器上。
您如何看待这个想法?它会安全吗?这根本不是一个好主意吗?
我列出了一些我想到的优点和缺点......
优点:
缺点/漏洞:
干杯, 自必
答案 0 :(得分:0)
这不是一个好主意。您基本上信任客户端进行身份验证,这非常糟糕。您必须假设客户端代码已完全泄露,并且已被攻击者修改为绕过您的控件。
一般来说,“自己动手”的安全性是一种灾难。您应该利用PHP的内置会话跟踪机制。如果您还不知道如何使用它,可以找到a good tutorial here。您的用户必须再次进行身份验证,但不幸的是,这对于正确的安全性是必要的。
另请注意,根据您建议的解决方案,“员工”之外可能没有访问控制权限。如果您需要提供基于用户ID,角色或组限制用户对资源的访问权限,则将来会严重限制。如果你在游戏中正确地做到这一点,你将来会更开心。